악성코드와 하율파파

실습 9-1 1. 어떻게 하면 악성코드가 자신을 설치하게 할 수 있는가? 입력받은 인자값은 argc, argv 두 개를 인자값 으로 받는다. 00402510 에서 받는 인자값은 다음 과 같다. 처음 인자값의 길이가 4인지 확인하고, 문자열을 하나씩 읽어와서 비교한다. 처음 61=a(16진수)이며, 문자를 1씩 증가하며 문자를 비교한다. 즉, 00402510 에서 받는 인자값은 abcd 이다. 2. 이 프로그램의 커맨드라인 옵션은 무엇인가? 패스워드 요건은 무엇인가? 커맨드라인 옵션 -in : 설치 -re : 삭제 -c : 업데이트 -cc : 출력 패스워드 : 4문자, abcd 3.이 악성코드가 특수 커맨드라인 패스워드를 요구하지 않게 영구 패치하려면 OllyDbg로 어떻게 해야 하는가? 00402510에..

실습 7-1 1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보 장하는가? 서비스에 Malservice로 등록하여 시스템 부팅 시 서비스로 동작할 수 있도록 한다. 2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가? 프로그램이 한번에 하나만 실행할 수 있도록 뮤텍스 생성 3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가? Malservice이름으로 서비스 생성. HGL345라는 고유 명칭의 뮤텍스 생성. 4. 이 악성코드를 탐지할 때 네트원크 기반으로 좋은 시그니처는 무엇인가? http://www.malwareanalysisbook.com에 지속적으로 접근한다. 5. 이 프로그램의 목적은 무엇인가? HGL345 뮤텍스 생성하여 Malservice서비스..

실습6-1 1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가? if문으로 되어있으며, 인터넷 상태를 받아와 있터넷이 연결 상태를 받아와 Success: Internet Connection를 출력하거나 Error 1.1: No Internet을 출력한다. 2. 0x40105F에 위치한 서브루틴은 무엇인가? 프로그램을 실행해 보면 위와같이 출력된다. 0x40105F는 프로그램 특성상 유추해 보면 printf 이다. 3. 이 프로그램의 목적은 무엇인가? InternetGetConnectedState 함수를 이용해 값을 받아와 1 = True (인터넷에 연결) 이면 Success: Internet Connection를 출력하거나 0 = False (인터넷에 연결되어있지 않음)이면 Erro..

실습 5-1 DllMain의 주소는 무엇인가? 1000D02E Imports 윈도우를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가? 100163CC gethostbyname에 함수는 몇 개인가? ctrl + x 눌러 상호참조 확인 sub_10001074 sub_10001656 sub_1000208F sub_10002CCE sub_10001365 5개의 함수에 의해 9번 상호참조되고 있다. 0x10001757에 위치한 gethostbyname 호출을 보면 어떤 DNS 요청이 이루어지는지 알 수 있는가? pics.praticalmalwareanalysis.com 요청 0x10001656에 있는 서브루틴에서 IDA Pro는 지역변수 몇 개를 인지하고 있는가? 23개 0x10001656..

실습 3-1 악성코드의 임포트 함수와 문자열은 무엇인가? ExitProcess 하나 임포트 되어있다.bintext를 이용해 확인 할 수 있는 문자열이다. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가? C\WINDOWS\system32\vmx32to64.exe 파일 설치 레지스트리에 등록 키 값 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 값 이름 : VideoDriver 값 데이터 : C:\WINDOWS\system32\vmx32to64.exe 악성코드를 인식할 수 있는 유용한 네트워크 기반 시그니처가 존재하는가? 존재한다면 무엇인가? www.practicalmalwareanalysis.com 으로 DNS 요청을 수행한다. 실습 3-2 악성코드 자..

실습 1-1 http//www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티 바이러스 시그니처에 일치하는 파일이 있는가? 2016년 01월 11일 기준, Lab01-01.exe는 21곳에서 진단하고 있으며 Lab01-01.dll은 16곳에서 진단하고 있다. 이 파일은 언제 컴파일 됐는가? 두 파일은 2010년 12월 19일 16시 16분에 컴파일 되었다. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 난독화의 징후는 없다. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가? Lab01-01.exe의 CreateFileA, CopyFileA, FindFirstFileA,FindNextFileA (파일 생성과 복사, 파일 탐..