티스토리 뷰
실습 1-1
- http//www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티 바이러스 시그니처에 일치하는 파일이 있는가?
2016년 01월 11일 기준, Lab01-01.exe는 21곳에서 진단하고 있으며 Lab01-01.dll은 16곳에서 진단하고 있다.
- 이 파일은 언제 컴파일 됐는가?
두 파일은 2010년 12월 19일 16시 16분에 컴파일 되었다.
- 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가?
난독화의 징후는 없다.
- 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
Lab01-01.exe의 CreateFileA, CopyFileA, FindFirstFileA,FindNextFileA (파일 생성과 복사, 파일 탐색)
Lab01-01.dll은 CreateProcessA, CreateMutexA, sleep, strncmp, ( 프로세스 생성, 뮤택스 생성, 슬립, 문자열 비교 등 의심되는 행위가 많다. - 감염된 시스템에서 검색할 수 있는 다른 파일이나 호스트 기반의 증거가 존재하는가?
C:/windows/system32폴더에 kerne132.dll(kernel32.dll로 위장하는 파일)를 생성 할 것으로 의심
- 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
Lab01-01.dll 파일의 문자열 확인시 127.26.152.13 이라는 IP주소가 보인다.
또한, Denendency Walker로 보면 WS2_32.dll을 임포트 하는것을 확인할 수 있으며, 네트워크 통신 관련 기능을 제공한다.
- 이 파일의 목적은 무엇이라 판단하는가?
Lab01-01.exe 는 C:/windows/system32/kerne132.dll 생성, kernel132.dll가 Lab01-01.dll파일로 보이며, 이 dll파일을 이용해 외부와 통신하며 시스템 정보등을 전송한다.
실습 1-2
Lab01-02.exe 파일을 분석하라
- http//www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
PEID로 확인 한 결과 UPX로 패킹되어 있는것을 확인 할 수 있다.
올리디버그 이용해서 UPX로 난독화 된 것을 언패킹 할 수 있으며, UPX 언패킹 툴을 이용해서도 언패킹 할 수 있다.임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
CreateService, InternetOpenUrl 등감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
http://www.malwareanalysisbook.com 으로 접속한다.
실습 1-3
Lab01-03.exe 파일을 분석하라
- http//www.VirusTotal.com/에 Lab01-03.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
- 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
FSG로 패킹되어 있으며, 툴이나 ollydbg를 이용해 패킹할 수 있다.
책을 따라간다면 18장에 언패킹을 방법을 배운다.
- 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
패킹을 풀지 않고 확인하기 어렵다.
- 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
패킹을 풀지 않고 확인하기 어렵다.
실습 1-4
Lab01-04.exe 파일을 분석하라
- http//www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
PEID로 확인 결과, 패킹되었거나 난독화의 징후는 없다.
- 이 프로그램은 언제 컴파일됬는가?
2019년 8월 30일에 컴파일되었다고 확인 되나, 이 날짜는 미래의 날짜므로 컴파일 시각이 변조된 것이므로 실제 컴파일 시각은 알기 어렵다.
임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
OpenProcess, WriteFile 등
- 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
6번 에서 리소스 파일로 저장한 파일을 IDA로 열어보면 다음과 같은 내용을 확인 할 수 있다.특정 URL에서 파일을 다운로드 받아 해당 파일을 system32\wupdmgrd.exe 로 저장함을 알 수 있다.
- 이 파일은 리소스 섹션에 하나의 리소스가 있다. Resource Hacker를 이용해 리소스를 점검하고 리소스를 추가해 보자. 리소스로 무엇을 알 수 있는가?
Resource Hacker - 기능 - 바이너리 파일로 저장
Resource Hacker로 저장된 파일을 Dependency Walker로 확인해 보면 URLDownloadToFileA 을 호출하는 것을 알 수 있다.
'Reversing > 실전 악성코드와 멀웨어 분석' 카테고리의 다른 글
| 챕터.9 Ollydbg (1) | 2016.04.20 |
|---|---|
| 챕터.7 악의적인 윈도우 프로그램 분석 (0) | 2016.04.08 |
| 챕터6. 실습문제 풀이 (0) | 2016.03.16 |
| 챕터5. 실습문제 풀이 (0) | 2016.02.16 |
| 챕터3. 실습문제 풀이 (0) | 2016.01.21 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
TAG
- CryptoLocker
- 서비스
- malware
- 해커스쿨 ftz
- CTB-Locker
- banker
- 파밍
- 백신
- 키로거
- 바이로봇
- 광고
- 뱅커
- 한빛리더스
- 실전 악성코드와 멀웨어 분석
- 리버싱 공부
- 크립토락커
- 에이콘
- CryptoWall
- 팝업
- 한빛아카데미
- 해커스쿨
- 랜섬웨어
- 실전 악성코드와 멀웨어 분석 연습문제
- 에이콘 출판사
- 리버싱
- 악성코드
- 뱅킹
- Ransom
- IT·컴퓨터
- 실전 악성코드와 멀웨어 분석 문제풀이
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함