-o-k's story

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-01.exe] 가상 환경 Windows XP Professional 실습 3-1) 기초 동적 분석 도구를 이용해 Lab03-1.exe 파일에서 발견된 악성코드를 분석하라. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? Kernel32.dll에 ExitProcess 함수만 사용한다. 패킹이 되어있는지 확인해본다. 'junkcode'라는 패커로 패킹이 되어있는 것을 알 수 있었다. 다음은 strings로 확인해보기 텍스트 파일로 결과를 저장시킨다. 많은 레지스트리 키가 나오는 것을 알 수 있다. SOFTWARE\Microsoft\Windows\Curre..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? [Lab01-01.exe] 69개 엔진 중에서 41개가 악성코드로 탐지 -> 악성코드임을 예측할 수 있다. AhnLab-V3, Microsoft, F-Secure 등이 악성코드로 인식 악성코드 이름이 대부분 Trojan, Win32, Heuristic 등으로 설정 예측: Trojan형태는 네트워크 기반의 통신 행위를 한다. 별도로 소프트웨어를 설치하거나 동작할 확률이 높다. 해시 정보가 나와 있다. 이 해시 값을 가지고 변조되었는지 확인할 수 있다. PE32 MS 윈도우 기반으로..

기초정적분석 설명 참고 https://t-okk.tistory.com/43 [악성코드분석] 기초정적분석01 - 설명 및 도구 기초정적분석 - 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 - 악성코드를 실행하지 않고 분석하는 과정 기초정적분석 방법 - 악성 여부를 판단하는 안티바이러스 도구 사용 - 악성코드 판별.. t-okk.tistory.com 1. PE 파일 포맷 윈도우 실행 파일 포맷: DLL, PE(Portable Executable) PE file header - 코드에 관한 정보를 수집 - 애플리케이션 유형 - 필요한 라이브러리 함수 - 메모리 공간 요구 사항 - exe 파일의 특징 파악 2. 링크 라이브러리와 함수 import 함수 목록 확보: 다른 프로그램에 저장된 라이브..

[기초정적분석] 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 악성코드를 실행하지 않고 분석하는 과정 [기초정적분석 방법] 악성 여부를 판단하는 안티바이러스 도구 사용 악성코드 판별하는 해시 정보 검증 파일의 문자열, 함수, 헤더에서 주요 정보 수집 1. 안티바이러스 스캐닝 악성코드 탐지 - 패턴 매칭 분석(주로 많이 사용): file signatures를 검색하여 찾는 방법 - heuristic: 악성코드를 변조시키거나, 신종을 나오게 하는 방법 tool: virustotal site(https://www.virustotal.com/gui/) 1.1 실습 [notepad.exe] [PracticalMalwareAnalysis-Labs.exe] 2. 해시 정보 검증 해시: 악성/정상 코드..