-o-k's story

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-03.exe] 가상 환경 Windows XP Professional 실습 3-3) 안전한 환경에서 기초 동적 분석 도구를 이용해 모니터링하는 동안 Lab03-03.exe 파일에서 발견된 악성코드를 실행하라. 1) Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가? 부모 프로세스를 잃어버리고 자식 프로세스 svchost.exe로 남는다. 답: Lab03-03.exe파일은 svchost.exe 파일을 자식 프로세스로 실행시키고 자기 자신은 사라진다. 2) 실시간 메모리 변조를 확인할 수 있는가? svchost.exe 메모리에 ..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-2.exe] [Lab03-2.dll] 가상 환경 Windows XP Professional 실습 3-2) 기초 동적 분석 도구를 이용해 Lab03-2.dll 파일에서 발견된 악성코드를 분석하라 라이브러리 파일 설치하는 방법 정직하게 보이는 것 보면 패킹은 되어있지 않은 것 같다. [import 디렉터리] 네트워크와 관련된 라이브러리를 보고 네트워크 행위를 한다는 것을 알 수 있다. ADVAPI32.dll 레지스트리와 관련된 라이브러리 존재, 서비스와 관련된 행위를 하는 모듈 존재, 서비스로 등록되면 악성코드가 자동으로 실행될 수 있도록 함. 서비스는 백..

UDPFlooding Malware를 제작하여 정적/동적 분석 https://t-okk.tistory.com/59 [UDP Flooding] UDP Flooding Malware 제작 1. 전체 Flowchart 순서 1) 악성코드는 서버에 10004번 포트로 'IMHACKER_10자리 숫자' 메시지를 UDP 통신으로 전송한다. 2) C&C 서버로 부터 공격 대상자 IP와 PORT 번호를 받고 공격지에 UDP Flooding 공격을.. t-okk.tistory.com *악성코드 분석하는 과정에서는 패킹하지 않은 파일을 가지고 분석하였다. 1. 정적분석 1.1 Virustotal(https://www.virustotal.com/gui/home) 악성 여부를 판단하는 안티바이러스 도구 악성코드 탐지에서 패턴..