[악성코드 분석] 정적 분석하기 Lab01-02.exe

virustotal 확인

 

 

PEiD 패킹 언패킹여부 확인

UPX1으로 패킹 되어 있는것 확인

 

 

 

언패킹

 

 

 

언패킹 이후 패킹 풀린것 확인

 

 

 

임포트를 보고 악성행위를 알아 낼 수 있는가? - dependency walk

가장 중요한 DLL 두개

 

 

 

 

있다면 임포트를 보고 알 수 있는가?

이건 패킹된 파일이다

 

 

악성코드가 될 수 있는 함수들 이것들이 있다면 의심해 봐야 한다

CreateMute는 임계영역을 침범해 교착상태를 일으킨다

 

 

네트워킹을 하려고 한다는것으로 추측해 볼 수 있음

 

 

해당 시스템에서 다른 파일 또는 호스트 기반 증거가 존재하는 가?

 

strings.exe 있는 위치로 온다

 

 

 

패킹된 파일이다 패킹된 파일은 이 렇게 그대로 나온다

 

---

언패킹 된것 strings 분석

 

 

 

 

좀전 패킹되었던것보다 더 자세하게 많이 나온다

 

 

 

왼쪽이 패킹된것 : 오른쪽이 언패킹 된것

 

심지어 언패킹 된것으로 보면은 이 파일에는 url주소가 있다 호스트 기반 인것을 확인 가능함

 

 

 

좀 요런 차이들도 있다