[2022.09.22]
[Win API]
- KERNEL32.DLL
- 메모리, 입출력 , 지원 관리
- LoadLibraryA
- DLL 실행 파일 구현되고, 다른 DLL 함수를 가져와서 사용
- 함수를 로드해주는 DLL
- GetProcAddress 사용할 수 있는 DLL 파일의
- GetProcAddress
- 특정 DLL에서 내보내기한 함수 또는 변수의 주소를 반환(가져옴)
- LoadLibrary, LoadPackageLibrary, GetModuleHandle 등의 함수를 통해서 인자값을 채움
- VirtualProtect
- 메모리 보호 설정 값
- 악성코드는 함수를 통해서 메모리의 읽기, 쓰기 권한을 변경
- VirtualAlloc
- 가상 메모리 할당
- VirtualFree
- 가상 메모리 할당 해제
- ExitProcess
- 프로세스 종료 함수
- User32.dll
- 메시지 , 타이머, 통신을 위한 윈도 함수
- GDI.dll
- 디바이스 출력을 위한 함수 (그리기,글꼴)
[정적 분석]
- Lab01-04.exe 파일을 분석하라
- 자동화 분석 (VirusTotal)
- 이 파일을 패킹또는 난독화가 되어 있는가? 있다면 종류는?
- 이 파일은 언제 컴파일이 되었는가?
- 임포트를 보고 악성행위를 알아낼 수 있는가? 있다면 어떤 임포트인가?
- 감염됨 시스템에서 어떤 호스트나 네트워크 기반 증거가 존재하는가?
- 이 파일은 리소스 섹션에 하나 이상의 리소스가 있다 . 해당 리소스를 추출하시오(Resource Hacker) 리소스로부터 무엇을 알 수 있는가?
- 분석 도구 : Resource Hacker
'보안 > 악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] 칼리/ 악성코드를 만들어서 해보기 (0) | 2025.03.04 |
|---|---|
| [악성코드 분석] 정적분석 / Lab01-04.exe / Resource Hacker (0) | 2025.03.04 |
| [악성코드 분석] 정적 분석하기 Lab01-03.exe / FSG코드 특징 / FGS 수동 언패킹 / OllyDump (0) | 2025.03.04 |
| [악성코드 분석] 정적 분석하기 Lab01-02.exe (0) | 2025.03.04 |
| [악성코드 분석] 정적분석 (0) | 2025.03.04 |