실전 악성코드와 멀웨어 분석 실습 6-1

이 실습에서는 파일 Lab06-01.exe에서 발견된 악성코드를 분석한다.

 

 

 

 

 

1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가?

 

 

main이 호출하는 서브루틴은 sub_401000이다.

 

 

sub_401000의 그래프 뷰이다.

InternetGetConnectedState의 반환 값에 따라서 if문으로 분기한다.

 

 

 

 

 

 

 

 

2. 0x40105F에 위치한 서브루틴은 무엇인가?

 

40105F 함수는 IDA에서 인식하지 못하여 명명되지 않았는데, 무슨 함수인지 알아보기 위해서 인자로 어떤 것이 들어가는지 확인하면 된다.

 

 

위에서 보았던 그래프 뷰의 일부이다. 양 쪽 분기 모두 sub_40105F를 호출하고 있는데, 인자로 문자들과 이스케이프 시퀀스 \n로 구성된 문자열이 들어가고 있다. 따라서 printf문이라고 유추할 수 있으므로, 함수의 이름을 printf로 바꿔준다.

 

 

 

 

 

 

 

 

 

 

3. 이 프로그램의 목적은 무엇인가?

 

위에서 알아낸 정보들을 통하여 이 프로그램은 InternetGetConnectedState()를 통해 인터넷 연결 유무를 확인한 후, 연결되면 1을 반환하고, 아닐경우 0을 반환하여 그에 따른 결과 문자열을 출력하는 기능을 한다는 것을 알 수 있다.