- Lab01-04.exe 파일을 분석하라
- 자동화 분석 (VirusTotal)
- 이 파일을 패킹또는 난독화가 되어 있는가? 있다면 종류는?
- 이 파일은 언제 컴파일이 되었는가?
- 임포트를 보고 악성행위를 알아낼 수 있는가? 있다면 어떤 임포트인가?
- 감염됨 시스템에서 어떤 호스트나 네트워크 기반 증거가 존재하는가?
- 이 파일은 리소스 섹션에 하나 이상의 리소스가 있다 . 해당 리소스를 추출하시오(Resource Hacker) 리소스로부터 무엇을 알 수 있는가?
- 분석 도구 : Resource Hacker
1. 자동화 분석 (VirusTotal)
2. 이 파일을 패킹또는 난독화가 되어 있는가? 있다면 종류는?
패킹이 되어 있지는 않다
3.이 파일은 언제 컴파일이 되었는가?
흰트는 이 날짜가 조작된 날짜일 수도 있다는 것이다
4. 임포트를 보고 악성행위를 알아낼 수 있는가? 있다면 어떤 임포트인가?
MoveFileA 하위를 포함하여 기존 파일 또는 디렉토리를 이동합니다.
WinExec 다른 프로그램을 실행할 때 사용한다. 악성코드가 신규 프로세스를 생성하면
새로운 프로세스도 역시 분석할 필요가 있다.
WriteFile 지정된 파일 또는 입 / 출력 (I / O) 장치에 데이터를 씁니다.
5. 감염됨 시스템에서 어떤 호스트나 네트워크 기반 증거가 존재하는가?
네트워크 기반이 있다
URLDownloadToFileA 는 추가 아성코드를 다운 받는 함수로 추측하고 있다
6. 이 파일은 리소스 섹션에 하나 이상의 리소스가 있다 . 해당 리소스를 추출하시오(Resource Hacker) 리소스로부터 무엇을 알 수 있는가? 분석 도구 : Resource Hacker
다른 이름으러 다시 저장
여전히 언패킹인것처럼은 보인다
하지만 다시 저장된 파일을 PE뷰에서 보니까 날짜가 변경되어 있다 즉, 이 날짜가 진짜 컴파일 된 파일이고 꼭 언패킹파일이라고 해서 모두 알 수 있는것만은 아닌거같다
이러게 해서 숨겨진 악성코드를 찾아볼 수 있다
패킹하여 비교해 보기
보면 아까와는 달리 네트워크 기반의 임포트는 딱히 확인되지 않는다
'보안 > 악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] 동적분석 (0) | 2025.03.04 |
|---|---|
| [악성코드 분석] 칼리/ 악성코드를 만들어서 해보기 (0) | 2025.03.04 |
| [악성코드 분석] Win API (0) | 2025.03.04 |
| [악성코드 분석] 정적 분석하기 Lab01-03.exe / FSG코드 특징 / FGS 수동 언패킹 / OllyDump (0) | 2025.03.04 |
| [악성코드 분석] 정적 분석하기 Lab01-02.exe (0) | 2025.03.04 |