[2022.09.20]
[정적분석]
- 분석 파일 : Lab01-01.exe , Lab01-01.dll
- 자동화 도구(악성코드 감염/탐지 여부 확인)
- virustotal.com
- 분석 결과(Lab01-01.dll)
- 공통 : 45/70
- 알약 : 탐지
- V3 : 미탐
- 분석 결과(Lab01-01.exe)
- 전체 : 45/70
- 알약, V3 : 모두 탐지
2. 이 파일들은 언제 컴파일 되었는가?
<Lab01-01.exe>
- 패킹 여부 확인 (PEiD) : 패킹 안되어 있음
- 컴파일 날짜 : (PEView) : 2010/12/19/ 16:16:19(UTC)
<Lab01-01.dll>
- 패킹 여부 확인 (PEiD) : 패킹 안되어 있음
- 컴파일 날짜 : (PEView) : 2010/12/19/ 16:16:38(UTC)
3. 패킹 및 난독화는 되어 있는가?
- 두 파일 모두 패킹 및 난독화 되어 있지 않음
4. 임포트를 보고 악성행위를 알아 낼 수 있는가 ?
만약 알아낼 수 있다면 어떤 임포트인가?(Dependency Walker)
<Lab01-01.exe>
- CopyFileA, CreateFileA : 파일 복사 및 생성
- CreateFileMappingA : 파일을 메모리에 로드하여 매핑, 메모리 접근 가능하게 함
- FindFirstFileA, FindNextFileA : 파일 검색
<Lab01-01.dll>
- KERNEL32.DLL : CreateMuteA, CreateProcessA :
- WS2_32.DLL : 네트워킹 관련된 함수 포함… (Socket)
5. 감염됨 악성코드에서 호스트나 네트워크 기반 증거가 존재하는가 ?
- Strings
<Lab01-01.exe>
- 확인할 수 없음
<Lab01-01.dll>
-WS2_32.DLL, 127,26,152,13{호스트}
KERNAL32.DLL : 메모리 관리, 입출력 관리 , 프로세스 관리, 스레드 생성 등등 …
0.분석 파일
- notepad.exe , clac.exe (메모장과 계산기)
- Lab01-01.dll (패킹 후 분석)
'보안 > 악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] PEiD / PEView (0) | 2025.03.03 |
|---|---|
| [악성코드 분석] virustotal - Lab01-01.dll Lab01-01.exe (0) | 2025.03.03 |
| [악성코드 분석] windowsxp Strings 문자열 검색 (0) | 2025.02.12 |
| [악성코드 분석] windowsxp / upx 언패킹 확인하고 패킹해보기 (0) | 2025.02.12 |
| [악성코드 분석] windowsxp peid 실행 패킹 언패킹 여부 확인 (0) | 2025.02.12 |