실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-4


 

Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다.
연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다.

Practical_Malware_Analysis
[구매하기]

실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-1
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-2
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-3
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-4
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-1
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-2
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-3
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-4

실습문제 다운로드 받는 곳 : http://nostarch.com/malware

실습 3-4
기초 동적분석 도구를 이용해 Lab03-04.exe 파일에서 발견된 악성코드를 분석하라.
(이 프로그램은 나중에 9장 실습에서 분석한다.)

질문
1. 이 파일을 실행했을 때 어떤일이 발생 했는가?
A: 실행시킨 악성코드가 conime.exe 자식 프로세스를 실행시키고 바로 없어지면서, 악성코드 자신도 삭제되었다.
3-4-1
3-4-2

ProcMon 에서 이벤트를 확인해보니, 아래와 같은 이벤트를 확인할수 있었다.
3-4-3

2. 동적 분석시 장애물이 무엇인가?
A:해당 악성코드가 삭제되고 실행되지 않아서 어떤 일을 수행하는지 알수 없다. 특정 조건 또는 컴포넌트가 필요할 것으로 보인다.

3. 이 파일을 실행시키는 다른 방법이 있는가?
A: strngs 으로 확인해보니 아래와 같은 문자열이 나타났다.

SOFTWARE\Microsoft \XPS 와 같은 레지스트리 위치와 http://www.practicalmalwareanalysis.com 주소, HTTP/1.0 등을 보아 http 통신을 하는 것으로 보이며, -cc, -re, -in 명령창에서 사용할 것으로 보이는 옵션들도 확인할 수 있었다.

해당 악성코드를 실행시키기 위햇 몇몇가지 시도를 해보았으나 잘되지 않았다.

 


This entry was posted in Reading, Reversing and tagged , . Bookmark the permalink.

4 Responses to 실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-4

  1. 최젼 says:

    항상 잘 보고있습니다.^^ 3장 이후의 실습도 진행해주시면 감사하겠습니다.

  2. apollo89 says:

    넵^^ 감사합니다. 시간이 없어서 요즘 많이 못보고 있는데 다시 시작해야 겠네요^^

  3. phantom0308 says:

    저도 이책 있는데, 솔직히 무슨 말을하는지 영 몰랐는데, 이 게시글을 보고 좀 더 쉽게 이해할 수 있었습니다. 감사합니다.

  4. 2 says:

    CraeteProcess 를 올리에서 bp 시키고 생성된 파일이 자기자신이랑 같은건지 다른건지 conime 사이즈 보니까 메모리 할당해서 리모트 스레드로 돌리는느낌인데. 해당 파일보다가 VirtualALLOC 으로 메모리 공간 할당 하고 REMOTETHREAD나 WAITsINGOBJECT에서 프로세스 동작시키기전에 어태치 하시면 될듯합니다. 수고하세요

댓글 남기기