1. www.VirusTotalcom에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
67개의 엔진 중에서 50개의 엔진이 탐지하였다.
2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자.
PEiD에서는 패킹 유무를 확인할 수 없었다.
섹션의 이름이 UPX인 것과, 첫 번째 섹션의 Size of Raw Data는 0이지만 Virtual Size는 4000으로 큰 것을 보면 압축 해제 될 때 해당 섹션에 해제되는 것으로 추측할 수 있으므로 UPX으로 패킹된 파일이라는 것을 알 수 있다.
UPX의 -d 명령을 통해 해당 파일을 언패킹 할 수 있다.
3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
WININET.dll의 InternetOpenUrl과 ADVAPI32.dll의 CreateService를 보고 인터넷과 서비스에 관련된 기능을 하는 것을 알 수 있다.
4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
MalService는 생성되는 서비스 명으로 추정되고, www.malwareanalysisbook.com 은 InternetOpenUrl을 통해 오픈하는 URL이라고 생각한다.
'악성코드분석 > 실전 악성코드와 멀웨어 분석' 카테고리의 다른 글
| 실전 악성코드와 멀웨어 분석 실습 3-1 (0) | 2021.11.12 |
|---|---|
| 실전 악성코드와 멀웨어 분석 실습 1-4 (0) | 2021.11.11 |
| 실전 악성코드와 멀웨어 분석 실습 1-3 (0) | 2021.11.10 |
| 실전 악성코드와 멀웨어 분석 실습 1-1 (0) | 2021.11.10 |
| 실전 악성코드와 멀웨어 분석 0장 - 악성코드 분석 입문 (0) | 2021.07.24 |