본문 바로가기

악성코드 분석21

악성코드 분석 9 [2024.09.25] > 분석 파일: Lab01-03.exe 01. 자동화 분석 1) 분석 도구: Virustotal.com2) 분석 결과: 66/73(V3, AlYac 모두 탐지)   02. 패킹 여부 확인 1) 분석 도구: PEiD, exeinfope2) 분석 결과: FSG 패커로 패킹됨  FSG 1.0이 나와 있기 때문에 패킹되어 있는 상태다  PEiD와 비슷한 구조로 현재 패킹되어 있는 것을 확인할 수 있다  03. PE 구조 확인 1) 분석 도구: PEView, PEStudio2) 분석 결과   현재 PE 구조를 살펴보면 섹션 수가 없는 것을 확인할 수 있다  또한, 이렇게 virustotal에서 확인한 바이러스와 imports, strings를 확인할 수 있다  04. 해시 값 계산 1) 분.. 2024. 9. 30.
악성코드 분석 8 [2024.09.24] [기초 정적 분석]> 분석 파일: Lab01-02.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 악성 코드로 확인됨(58/72), V3, AlYack 탐지    02. 이 악성코드가 패킹되거나 난독화 징후가 있는가?만약 있다면 어떤 도구로 패킹되었는가? > 분석 도구: PEiD, exeinfope> 분석 결과: UPX로 패커로 패킹됨   현재 UPX로 패커로 패킹되어 있는 것을 확인할 수 있다  PEView로 PE 구조를 살펴볼 때도 UPX로 패킹되어 있는 모습을 볼 수 있다 *패킹을 진행한다고 해도 오리지널 파일과 동일하게 언패킹이 되지 않을 수도 있다  마지막으로 pestudio로 확인했을 때에도 악성코드를 볼 수 있다하이픈(-)으로 나와 .. 2024. 9. 30.
악성코드 분석 7 [2024.09.23] [기초 정적 분석]> 분석 파일: Lab01-01.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 56/73(V3, AlYac Trojan)    => (실제 파일 분석 시에는 패킹 여부 확인을 먼저 해야 됨)02. 이 파일은 패킹이나 난독화가 되어 있는가?만약, 패킹되어 있다면 무엇으로 판단되는가? > 분석 도구: PEiD, Exeinfo> 분석 결과: 패킹되지 않음   03. 이 파일의 컴파일 날짜/시간은 언제인가? > 분석 도구: PEView> 분석 결과: 2010/12/19 16:16:00    => 패킹: upx.exe [파일명]=> 언패킹: upx.exe -d [파일명]  패킹을 다시 진행하기 위해 upx를 사용했다일반 압축만 하는 것.. 2024. 9. 30.
악성코드 분석 6 [2024.09.20] [정적 분석] 01. 디바이스 관련 API > DeviceloControl> GetLogicDriveStrings> GetDriveType    02. 레지스트리 관련 API > RegDeleteKey> RegCloseKey> RegCreateKey> RegOpenKey> RegqueryValue> RegSetValue> RegDeleteValue> RegGetValue     03. 서비스 관련 API > CreateService> OpenService> QueryServiceConfig> CloseServiceHandle> ChangeServiceConfig> ControlService> StartService> OpenSCManager    04. 네트워크 및 인터넷 관련 A.. 2024. 9. 20.
악성코드 분석 5 [2024.09.19] [정적 분석 도구] > GUI 버전 1) OllyDBG2) IDA Pro3) PEiD4) PEView5) PEstudio6) HxD7) WinMD58) Resource Hacker9) Dependency Walker > Text 버전 10) UPX11) Strings12) hashdeep  [동적 분석 도구] 1) Process Explorer2) Process Monitor3) Wireshark  [정적 분석 순서] 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과:  *실습 때는 윈도우 xp를 사용하여 접속이 불가했기 때문에윈도우 7이랑 호환해서 실습을 진행하면 좋을 것 같다  02. 해시 값 확인 > 분석 도구: hashcalc, WinMD5> 분석 .. 2024. 9. 19.
악성코드 분석 4 [2024.09.13] [Windows] > 파일명: file.txt > sum 값 계산c:\hashdeep64.exe -r -c md5 file1.txt > sum 값 계산 후 파일 저장c:\hashdeep64.exe -r -c md5 file1.txt > file1.sum > 검증c:\hashdeep64.exe -a -r -k md5 file1.sum file1.txt   오늘은 먼저 file1의 텍스트 파일을 생성한다  그런 다음 winmd5를 실행하여 생성한 file1을 분석하고 해시 함수를 얻어낸다  다시 file1으로 가서 1로 내용을 변경시킨 뒤  다시 분석하게 되면 해시 함수도 변경되며, 동시에 NOT Matched라는 문구가 나타난다  이번에는 cmd로 시도해 보려고 한다파일이 있는 디렉.. 2024. 9. 13.

티스토리툴바