"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의
실습 부분을 공부하고 작성한 분석 보고서"
사용한 파일
[Lab03-03.exe]
가상 환경
Windows XP Professional
실습 3-3) 안전한 환경에서 기초 동적 분석 도구를 이용해 모니터링하는 동안 Lab03-03.exe 파일에서 발견된 악성코드를 실행하라.
1) Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가?
부모 프로세스를 잃어버리고 자식 프로세스 svchost.exe로 남는다.
답: Lab03-03.exe파일은 svchost.exe 파일을 자식 프로세스로 실행시키고 자기 자신은 사라진다.
2) 실시간 메모리 변조를 확인할 수 있는가?
svchost.exe 메모리에 올라가 strings 값을 사용한다.
strings는 하드디스크에 있는 파일을 확인하는 것이다. 메모리에 올라간 것은 확인할 수 없다.
메모리에 있는 문자열을 보는 방법은 프로세스 익스프로어를 사용한다.
그리고 키보드 값을 가로채서 기록으로 남기는 것 같다.
예측: practicalmalwareanalysis.log는 키보드 값의 로그를 남기는 파일인 것 같다.
답: 확인할 수 있다. 키보드와 관련된 문자열과 practicalmalwareanalysis.log 파일이 있다는 것을 확인할 수 있었다.
3) 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?
프로세스 모니터
어떤 행위?
답: 로그파일을 악성코드가 함께 들어있는 파일을 생성한다.
4) 이 프로그램의 목적은 무엇인가?
DLL 인젝션: 정상적인 프로그램 안에 있는 특정 메모리에 악성코드를 집어넣는다는 것이다.
'Security > Reversing' 카테고리의 다른 글
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-04 분석 (0) | 2020.07.28 |
|---|---|
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-02 분석 (0) | 2020.07.28 |
| [악성코드동적분석] PracticalMalwareAnalysis-Lab03-01 분석 (0) | 2020.07.28 |
| [UDP Flooding] UDP Flooding Malware 정적/동적 분석 (0) | 2020.07.28 |
| [UDP Flooding] UDP Flooding Malware 제작 (0) | 2020.07.28 |