챕터3. 실습문제 풀이

실습 3-1 

1. 악성코드의 임포트 함수와 문자열은 무엇인가?
   
   ExitProcess 하나 임포트 되어있다.

   

   bintext를 이용해 확인 할 수 있는 문자열이다.

   

   
   
   
2. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?
   
   C\WINDOWS\system32\vmx32to64.exe 파일 설치 
   
   레지스트리에 등록
   키 값 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   값 이름 : VideoDriver
   값 데이터 : C:\WINDOWS\system32\vmx32to64.exe
   
   
3. 악성코드를 인식할 수 있는 유용한 네트워크 기반 시그니처가 존재하는가? 존재한다면 무엇인가?
   
   www.practicalmalwareanalysis.com 으로 DNS 요청을 수행한다.
   

   

---

실습 3-2 

1. 악성코드 자체가 어떻게 설치됐는가?
   
   

   

   

   
   
2. 설치 후 악성코드를 어떻게 실행하는가?
   
   서비스로 등록하여 실행.
   
   
3. 악성코드가 동작할  때 어떤 프로세스를 발견할 수 있는가?
   
   

   

   
   
   서비스 등록 정보를 확인하면 svchost.exe를 이용해 실행시 키는 것을 알수 있다. 실제 실행 시 processexplorer를 이용해 확인해 보면 svchost.exe 에 인젝션되어 실행 되는 것을 볼 수 있다.
   
   

   

   
   
   
4. 정보를 수집하는 ProcMon을 사용하기 위해 어떤 필터링을 설정했는가?
   
   lab-03.dll 을 로드하는 svchost.exe의 PID 값으로 필터링 하고, 파일의 변경 사항을 확인 하기 위해 WriteFile 등의 값을 필터링 한다.
   

   
   
   

5. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?
   
   서비스에 IPRIP라는 이름으로 등록하여 Lab03-02.dll을 실행시킴 
   
   
6. 악성코드를 인식할 수 있는 유용한 네트워크 기반 시그니처가 존재하는가?
   
   

   

---

실습 3-3 

1. ProcessExplorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가?
   
   Lab03-03.exe가 Svchost.exe를 실행시키고 자기 자신은 종료한다.
   
   
2. 실시간 메모리 변조를 확인할 수 있는가?
   
   메모리를 확인해 보면 practicalmalwareanalysis.log 라는 스트링 값이 들어가 있다.
   
   

   

   
   
   
3. 악성코드임을 의미하는 호스트기반 표시자는 무엇인가?
   
   메모리 변조에서 확인한 practicalmalwareanalysis.log라는 파일을 생성한다.

   
   
   

4. 이 프로그램의 목적은 무엇인가?
   
   Lab03-03.exe는 키 입력을 감시하여 특정 키 값이 입력되면 practicalmalwareanalysis.log 파일에 로그를 남기는 키로거기능을 하는 악성샘플이다.
   
   

   

   

---

실습 3-4(9장에서 분석해본다.)

1. 이 파일을 실행했을 때 어떤 일이 발생했는가?
   
   Lab03-04.exe 파일 실행 시 자신을 삭제한다.
   
   
2. 동적 분석 시 장애물이 무엇인가?
   
   인자값이 필요한 것으로 보이나 인자값이 없어 확인이 불가하다.
   
   
3. 이 파일을 실행시키는 다른 방법이 있는가?
   
   9장에서 분석해본다.