- 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-3]

# 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습.







                                                                                 


# 실습 1-3

 Lab01-03.exe 파일 분석

                                                                                 




# 질문 (1)

- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?


[ 그림 1 ] VirustToTal 진단 결과

- 안티바이러스 제품 57개중 43개에서 이미 분석되었던것으로 확인할 수 있었습니다.




# 질문 (2)

- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자.


[ 그림 2 ] 패킹 유무 확인 도구를 이용한 패킹 확인

- FSG 1.0 패커에 의해 패킹되어 있다는 것을 확인할 수 있었으며, FSG가 'Fast Small Good' 약자라네요.

  확인해보니 그냥 일반적인 실행 압축해주는 패커였습니다.



[ 그림 3 ] PEView로 확인

- 섹션부분을 보니, 섹션 이름도 없고, 패킹된 냄새가 나네요.

- 간단하게, PEView 그리고 DIE를 이용해서 패킹 여부를 확인했습니다. 확인 결과 FSG 패커로 패킹되어 있다고

  판단됩니다.





# 질문 (3)

- 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?



[ 그림 4 ] VirusTotal 이용 import 함수 확인

KERNEL32.dll 의 LoadLibraryA, GetProcAddress 함수를 사용하는 것으로 보아, 어떤 특정 라이브러리 파일의

  주소를 찾아와서 로드시키는 그러한 행위를 할 것으로 판단되는데요.

- 패킹되어 있어서 그외 다른 임포트 함수는 확인이 안되는 것 같네요.

- 언패킹 이후에 다시 확인해봐야 할 것 같습니다.



# 질문 (4) 
- 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?


[ 그림 5 ] Lab01-03.exe 실행 결과

- 실행 결과입니다. 실행 후 위의 주소로 페이지가 자동적으로 뜨는 것을 확인할 수 있는데, 자세한 내용은 언패킹하고, 분석을 

  더 해봐야 할 것 같습니다.







# 참고

- 실전 악성코드와 멀웨어 분석



Trackbacks 0 / Comments 0

Leave Comments

by yO Kang

Notices

Tags

Tistory Cumulus Flash tag cloud by L´avare requires Flash Player 9 or better.

Statistics

  • Total : 111,327
  • Today : 3
  • Yesterday : 20