Information Security ˗ˋˏ ♡ ˎˊ˗
반응형

분석보고서 3

[악성코드정적분석] PracticalMalwareAnalysis-Lab01-04 분석

[Lab01-04.exe_] [output.exe] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다. 생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다. 맨 처음에 탐지가 된 것을 2011년으로 나온다. 악성코드 샘플에 연결된 도메인 정보가 나온다. 추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다. 이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다. 두 개의 URL과 Domain이 연결되어있다. 추측..

Security/Reversing 2020.04.25

[악성코드정적분석] PracticalMalwareAnalysis-Lab01-03 분석

[Lab01-03.exe] [Lab01-03_unpacked.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan, packer가 있는 것을 봐서는 패킹이 되어있을 확률이 높다. 악성코드일 확률이 높음을 알 수 있다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] 추측: FSG1.0 버전으로 패킹이 되어있는 것을 알 수 있다. FSG로 패킹이 되어있는 것을 언패킹 하기 위해 사용한 tool: VMUnpacker [VMUnpacker.exe] 해당 exe파일을 언패킹 파일 사이즈가 커진 것을 볼 수 있다. [PEiD.exe] 언패킹이 된 것을 알 수 있다. [virustotal.com] 추측: 바이러스 토탈 ..

Security/Reversing 2020.04.24

[악성코드정적분석] PracticalMalwareAnalysis-Lab01-02 분석

01-[Lab01-02.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드의 시그니처를 판단한다. 주로 Trojan 형태가 많이 나오는 것을 볼 수 있다. Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다. Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다. 추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] UPX로 패킹이 되어있는 것을 볼 수 있다. [Unpacking UPX] 사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다. [PEiD.exe] 언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정..

Security/Reversing 2020.04.24
반응형