실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-2

 

Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다.
연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다.

Practical_Malware_Analysis
[구매하기]

실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-1
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-2
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-3
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-4
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-1
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-2
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-3
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-4

실습문제 다운로드 받는 곳 : http://nostarch.com/malware

실습 1-2
Lab01-02.exe 파일을 분석하라.

질문
1. http://www.virustotal.com 에 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
A : 18개의 백신에서 악성코드로 탐지되었다.
1-2-1

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹되어 있다면 언패킹 해보자.
A : UPX으로 패킹되어있다.
1-2-2

UPX unpack 해보았다 (upx.exe -d Lab01-02.exe)
1-2-3

unpack 후에 다시 PEiD으로 확인.
1-2-4

3. 임포트를 보고 악성코드 기능를 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
A : ADVAPI32.DLL 에서 서비스관련 API(CreateServiceA, StartServiceCtrlDispatcherA, OpenSCManagerA)를 볼 수 있었고, WININET.DLL에서 인터넷 관련 API(InternetOpenUrlA, InternetOpenA)를 볼 수 있었다.
1-2-5

4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네크워크 기반의 증거를 사용했는가?
A : Lab01-02.exe을 strings 으로 확인해봤을 때 아래와 같이 URL(http://www.malwareanalysisbook.com)을 발견할 수 있었고, MalService, HGL345, Internet Explorer 8.0 등의 문자를 확인할수 있었다.

 

This entry was posted in Reading, Reversing and tagged , . Bookmark the permalink.

3 Responses to 실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-2

댓글 남기기