# 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습.
# 실습 1-3
Lab01-03.exe 파일 분석
# 질문 (1)
- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
[ 그림 1 ] VirustToTal 진단 결과
- 안티바이러스 제품 57개중 43개에서 이미 분석되었던것으로 확인할 수 있었습니다.
# 질문 (2)
- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자.
[ 그림 2 ] 패킹 유무 확인 도구를 이용한 패킹 확인
- FSG 1.0 패커에 의해 패킹되어 있다는 것을 확인할 수 있었으며, FSG가 'Fast Small Good' 약자라네요.
확인해보니 그냥 일반적인 실행 압축해주는 패커였습니다.
[ 그림 3 ] PEView로 확인
- 섹션부분을 보니, 섹션 이름도 없고, 패킹된 냄새가 나네요.
- 간단하게, PEView 그리고 DIE를 이용해서 패킹 여부를 확인했습니다. 확인 결과 FSG 패커로 패킹되어 있다고
판단됩니다.
# 질문 (3)
- 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
[ 그림 4 ] VirusTotal 이용 import 함수 확인
- KERNEL32.dll 의 LoadLibraryA, GetProcAddress 함수를 사용하는 것으로 보아, 어떤 특정 라이브러리 파일의
주소를 찾아와서 로드시키는 그러한 행위를 할 것으로 판단되는데요.
- 패킹되어 있어서 그외 다른 임포트 함수는 확인이 안되는 것 같네요.
- 실행 결과입니다. 실행 후 위의 주소로 페이지가 자동적으로 뜨는 것을 확인할 수 있는데, 자세한 내용은 언패킹하고, 분석을
더 해봐야 할 것 같습니다.
# 참고
- 실전 악성코드와 멀웨어 분석
'0x00 > 0x02 Malware' 카테고리의 다른 글
| - 3월 11일 주의 파일 안내입니다. (출처:바이러스제로시즌2) (0) | 2015.03.11 |
|---|---|
| - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-2] (0) | 2015.02.10 |
| - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-1] (0) | 2015.02.09 |
| - 악성코드 (MaxRootkit_2011_1.exe) 분석 - 미완. (0) | 2015.01.26 |
| - 악성코드 분석 환경 구축 (VMware) (0) | 2015.01.23 |
