악성코드와 하율파파

실습 9-1 1. 어떻게 하면 악성코드가 자신을 설치하게 할 수 있는가? 입력받은 인자값은 argc, argv 두 개를 인자값 으로 받는다. 00402510 에서 받는 인자값은 다음 과 같다. 처음 인자값의 길이가 4인지 확인하고, 문자열을 하나씩 읽어와서 비교한다. 처음 61=a(16진수)이며, 문자를 1씩 증가하며 문자를 비교한다. 즉, 00402510 에서 받는 인자값은 abcd 이다. 2. 이 프로그램의 커맨드라인 옵션은 무엇인가? 패스워드 요건은 무엇인가? 커맨드라인 옵션 -in : 설치 -re : 삭제 -c : 업데이트 -cc : 출력 패스워드 : 4문자, abcd 3.이 악성코드가 특수 커맨드라인 패스워드를 요구하지 않게 영구 패치하려면 OllyDbg로 어떻게 해야 하는가? 00402510에..

실습 7-1 1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보 장하는가? 서비스에 Malservice로 등록하여 시스템 부팅 시 서비스로 동작할 수 있도록 한다. 2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가? 프로그램이 한번에 하나만 실행할 수 있도록 뮤텍스 생성 3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가? Malservice이름으로 서비스 생성. HGL345라는 고유 명칭의 뮤텍스 생성. 4. 이 악성코드를 탐지할 때 네트원크 기반으로 좋은 시그니처는 무엇인가? http://www.malwareanalysisbook.com에 지속적으로 접근한다. 5. 이 프로그램의 목적은 무엇인가? HGL345 뮤텍스 생성하여 Malservice서비스..

악성코드 정보 로키랜섬웨어가 최근들어 이메일의 첨부파일 형태로 유포되고있다. 첨부파일의 압축파일은 java script 파일이며, 파일 실행시 해커의 서버에서 로키랜섬웨어를 다운받아 감염시키게 된다. 테스트 환경 Windows XP x86 분석정보 이메일에 첨부된 압축파일은 악성 java script 파일이 있으며, java script를 열어보면 난독화가 되어있다. 자바 스크립트 파일은 비교적 단순하게 난독화 되어있다. 변수를 만들어 변수에 문자열값을 가지고 있으며, 해당 변수명을 가져와 문자열을 만들어 특정 서버에서 악성 파일을 다운받아 실행시킨다. 난독화를 해제해 주요 정보를 획득하면 악성 Java Script는 아래 행위를 수행한다. 1. 해커의 서버에서 파일 다운로드 2. %temp% 폴더에 저..