안전한 환경에서 기초 동적 분석 도구를 이용해 모니터링하는 동안 Lab03-03.exe 파일에서 발견된 악성코드를 실행하라.
1. Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가?
Lab03-03.exe는 PID 224의 svchost.exe를 자식 프로세스로 실행시키고 종료된다.
생성된 프로세스는 정상적인 프로세스처럼 보이지만,
2. 실시간 메모리 변조를 확인할 수 있는가?
Strings를 확인해 보았을 때, 파일에서와 메모리에서의 문자열이 다르게 존재하는 것을 확인 할 수 있다.
3. 악성코드임을 의미하는 호스트기반 표시자는 무엇인가?
악성코드는 prcaticemalwareanalysis.log라는 파일을 남긴다.
4. 이 프로그램의 목적은 무엇인가?
생성된 로그 파일의 내용을 확인한 결과 메모장에 작성한 문자열이 저장되어있었고, Strings에서 확인했던 [ENTER] [TAB]도 기록되었다.
따라서 이 프로그램은 키로거를 실행시키기 위해 svchost.exe를 가장한 프로세스를 실행시킨다.
'악성코드분석 > 실전 악성코드와 멀웨어 분석' 카테고리의 다른 글
| 실전 악성코드와 멀웨어 분석 실습 5-1 (11~21) (0) | 2021.11.16 |
|---|---|
| 실전 악성코드와 멀웨어 분석 실습 5-1 (1~10) (0) | 2021.11.15 |
| 실전 악성코드와 멀웨어 분석 실습 3-2 (0) | 2021.11.12 |
| 실전 악성코드와 멀웨어 분석 실습 3-1 (0) | 2021.11.12 |
| 실전 악성코드와 멀웨어 분석 실습 1-4 (0) | 2021.11.11 |