antoroong 님의 블로그

[2022.09.26][String]www.practicalmalwareanalysis.com Practical Malware AnalysisMalware analysis is big business, and attacks can cost a company dearly. When malware breaches your defenses, you need to act quickly to cure current infections and prevent future ones from occurring.nostarch.com 2)Video Driver : 파일 복제 시 키( 파일 복제 시 키: Lab03-01.exe → vmx32to64.exe)   [Lab03-01.exe] Lab03-01.exe 실행 파일을 ..

Lab03-01.exe    분석 도구 : virusTotal분석 결과 : V3 있음, 알약 있음   정적분석 : 패킹난독화여부 확인PEncrypt로 패킹 되어 있다  PEView 확인    ws2_32를 사용하는 것을 알 수 있다   Dependency Walker 정보가 너무 없다     Strings로도 확인디펜던시 워커보다 더 많은 악성 정보가 나왔다아니 Kerne132.dll 이런 훼이크 파일이 있다니./.. 원래는 KERNEL32.dll 이라면 말이 되텐데….정상적이라면 바로 저런 프로세스가 올라오지 않는다 호스트 기반인것도 발견 32비트를 64비트로 바꾼다던가    Resource Hacker로도 확인이되지 않는다 (암호화되어서)  Process Exploer 프로세스 모니터링더블클릭하여 실..

[2022.09.23][동적 분석]→ 정적 분석 → 동적 분석= 분석 파일 : Lab03-01.exe  1. 자동화 분석1) 분석 도구 : http://www.virustotal.com2) 분석 결과 :V3 :알약 2. 정적 분석1) 분석 도구 : PEiD- 패킹/난독화 여부 : 패킹 되어 있음(암호화일수도 있고 난독화일 수도 있따)- PEncrypt 3.1 Final -> junkcode  분석 도구 : Dependency Walker 2) 분석 도구 : Dependency Walker- ExitProcess 함수 1개 발견 3) 분석 도구 : strings- ExitProcess, kerne132.dll- 호스트/네트워크 기반 정보 : http://www.practicalmalwareanalysis...

동적 분석1) 동적 분석이란? - 악성코드 파일을 실행 중에 나타나는 변화 모니터링하며, 어떠한 기능을 수행하는지를 확인하는 분석 방법 - 악성코드 파일이 실제 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행해야 함   Windows 기본 프로세스1) 종류• 악성코드 파일을 실행 중에 나타나는 변화를 모니터링하며, 어떠한 기능을 수행하는지를 확인하는 분석 방법• 악성코드 파일이 실제 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행해야 함 Windows  기본 프로세스• csrss.exe( Client / Server Runtime SubSystem, Win32 )- 윈도우 콘솔을 관장하고, 스레드 생성/삭제, 32bit 가상 MS-DOS 모드 지원 • Isass.exe( Lo..

msfvenom으로 악성코드 만들어보기    그때 나는 삼바나의 서버를 /korea로 지정해놔서 /korea파일로 옮긴다 칼리 아이피 주소 192.168.10.136 확인  칼리의 삼바서버를 열기  사실 msfconsole 과정은 삼바서버를 옮기는거랑은 무관한데 그냥 내 악성코드를 실행한다면 이쪽으로 정보가 올것 이제 windows10에서 칼리삼바로 들어갈준비         분석 시작 virustotal        생각보다 정보가잘 나오지 않는다그래서 32비트로 다시 만들생각32비트로 생성     오 64비트로 만든것보다 에러도 없고 훨씬 잘 보인다        정말 cmd가 나갈정도로 정보가 많았다 32비트는

Lab01-04.exe 파일을 분석하라자동화 분석 (VirusTotal)이 파일을 패킹또는 난독화가 되어 있는가? 있다면 종류는?이 파일은 언제 컴파일이 되었는가?임포트를 보고 악성행위를 알아낼 수 있는가? 있다면 어떤 임포트인가?감염됨 시스템에서 어떤 호스트나 네트워크 기반 증거가 존재하는가?이 파일은 리소스 섹션에 하나 이상의 리소스가 있다 . 해당 리소스를 추출하시오(Resource Hacker) 리소스로부터 무엇을 알 수 있는가?분석 도구 : Resource Hacker 1. 자동화 분석 (VirusTotal)  2. 이 파일을 패킹또는 난독화가 되어 있는가? 있다면 종류는?패킹이 되어 있지는 않다   3.이 파일은 언제 컴파일이 되었는가? 흰트는 이 날짜가 조작된 날짜일 수도 있다는 것이다   ..

[2022.09.22][Win API]KERNEL32.DLL메모리, 입출력 , 지원 관리LoadLibraryADLL 실행 파일 구현되고, 다른 DLL 함수를 가져와서 사용함수를 로드해주는 DLLGetProcAddress 사용할 수 있는 DLL 파일의GetProcAddress특정 DLL에서 내보내기한 함수 또는 변수의 주소를 반환(가져옴)LoadLibrary, LoadPackageLibrary, GetModuleHandle 등의 함수를 통해서 인자값을 채움VirtualProtect메모리 보호 설정 값악성코드는 함수를 통해서 메모리의 읽기, 쓰기 권한을 변경VirtualAlloc가상 메모리 할당VirtualFree가상 메모리 할당 해제ExitProcess프로세스 종료 함수User32.dll메시지 , 타이머,..

FSG코드 특징 - JMP를 연속 3개 사용한다 Lab01-03.exe  더 심하다  PEiD 패킹언패킹 분석알고보니 FSG로 패킹되어 있는거고 언패킹을 하려면 다른 도구를 사용해야 한다   UPX로 패킹되어 있지 않아서 언패킹이 불가능 한것 같다   정보가 단지 ㅇ ㅣ거밖에 안나온다.. 어쩌면 너무 강력한 패킹이 되엇나보다  정보가 너무 없다아직은 정보가 이거밖에 없어서 호스트 기반은 모르겠으나 일단 언패킹을 하고 다시 조사를 해야 정확히 알 수 있을것이다 일단 처음에 내가 생각하기에 405000이라고 생각햇다 엔트리 포인트가 근데 아니더라    여기는엔트리 포인트가 아니다 일단방법은 일단진짜 엔트리포인트를 찾아야한다그렇지 못한다면 엔트리 포인트를 가리키는 메인함수를 찾아야 한다일단 나는 엔트리 포인트..

virustotal 확인  PEiD 패킹 언패킹여부 확인UPX1으로 패킹 되어 있는것 확인   언패킹   언패킹 이후 패킹 풀린것 확인   임포트를 보고 악성행위를 알아 낼 수 있는가? - dependency walk가장 중요한 DLL 두개    있다면 임포트를 보고 알 수 있는가?이건 패킹된 파일이다  악성코드가 될 수 있는 함수들 이것들이 있다면 의심해 봐야 한다CreateMute는 임계영역을 침범해 교착상태를 일으킨다  네트워킹을 하려고 한다는것으로 추측해 볼 수 있음  해당 시스템에서 다른 파일 또는 호스트 기반 증거가 존재하는 가? strings.exe 있는 위치로 온다   패킹된 파일이다 패킹된 파일은 이 렇게 그대로 나온다 언패킹 된것 strings 분석    좀전 패킹되었던것보다 더 자세하..

[2022.09.21][정적분석]분석 파일 : Lab01-02.exe패킹/언패킹1. 자동화 분석1) 분석 도구 : http://virustotal.com2) 분석 결과(총 56/71)V3 : 탐지알약 : 탐지2. 이 파일은 패킹 및 난독화가 되어 있는가? 되어 있다면 그 종류는 ?1) 분석 도구 : PEiD2) 분석 결과UPX1으로 패킹됨 c:\upx -d Lab01-02.exe언패킹 확인 (PEiD)  3. 임포트를 보고 악성행위를 알아낼 수 있는가?있다면 임포트를 보고 알 수 있는가’?1) 분석 도구 : dependency Walk2) 분석 결과 : DLL에 나오는 함수들  4. 해당 시스템에서 다른 파일 또는 호스트 기반 증거가 존재하는 가?1) 분석 도구 : string2) 분석 결과 :http:..