"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의
실습 부분을 공부하고 작성한 분석 보고서"
사용한 파일
[Lab03-04.exe]
가상 환경
Windows XP Professional
실습 3-4) 기초 분석 도구를 이용해 Lab03-04.exe 파일에서 발견된 악성코드를 분석하라.
Kernel32.dll : 파일과 관련된 행위를 한다는 것을 알 수 있다.
|
CopyFile function |
기존 파일을 새 파일로 복사한다. |
|
WriteFile function |
지정된 파일 또는 입/출력 장치에 데이터를 쓴다. |
|
ReadFile function |
지정된 파일 또는 입/출력 장치에서 데이터를 읽는다. |
|
DeleteFileA function |
기존 파일을 삭제한다. |
|
GetFileTime function |
파일 또는 디렉터리를 작성하고 액세스 한 후 마지막으로 수정한 날짜와 시간을 검색 |
ADVAPI32.dll: 서비스를 생성하기 위한 함수들, 레지스트리를 생성하기 위한 함수
SHELL32.dll
- ShellExecuteA function: 지정된 파일에서 작업을 수행한다.
WS2_32.dll: 소켓, 네트워크 행위와 관련된 함수
del이라는 문자열 자체가 무엇인가를 삭제하는 문자열이다.
해커는 서버에 접속하여 명령어를 받는다는 것을 예측한다.
인자 값을 주어서 악성코드를 실행시키는 것을 정적 분석을 통해 예측할 수 있다.
1) 이 파일을 실행했을 때 어떤 일이 발생했는가?
2) 동적 분석 시 장애물이 무엇인가?
의심이 되는 문자열이 존재한다.
답: strings에서 봤던 문자열들
-cc 옵션을 주었을 때, 똑같이 삭제
-re 옵션 역시 삭제
-in 옵션
프로그램 분석을 더해서 필요한 환경 설정을 추가로 더 해줘야지만 해결할 수 있을 것 같다.
3) 이 파일을 실행시키는 다른 방법이 있는가?
'Security > Reversing' 카테고리의 다른 글
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-03 분석 (0) | 2020.07.28 |
|---|---|
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-02 분석 (0) | 2020.07.28 |
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-01 분석 (0) | 2020.07.28 |
| [UDP Flooding] UDP Flooding Malware 정적/동적 분석 (0) | 2020.07.28 |
| [UDP Flooding] UDP Flooding Malware 제작 (0) | 2020.07.28 |