Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 시스템해킹
- 모의해킹
- Web
- 소프트웨어
- 웹해킹
- ftz
- bee-box
- webhacking
- 순서도
- 네트워크보안
- WarGame
- 해킹
- 리버싱
- 시스템
- 알고리즘
- 드림핵
- hacking
- XSS
- dreamhack
- 비박스
- network
- 워게임
- 네트워크
- 소프트웨어보안
- System
- TCP
- Webhaking
- 웹
- reversing
- CodeEngn
Archives
- Today
- Total
Without a Break
기초 정적 분석 - Lab01-02.exe 본문
1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?
악성 코드로 판단된다.
2) 패킹이나 난독화의 흔적이 있는가? 이유는?
EP Section을 보니 UPX로 패킹되었음을 알 수 있다.
upx를 언패킹하고, 다시 확인해보면
microsoft visual C++로 컴파일 되었음을 알 수 있다.
3) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
ADVAPI32.dll의 CreateService는 서비스 오브젝트를 작성하여 지정된 서비스 제어 관리자의 데이터베이스에 추가하는 함수이다.
또, WINNET.dll에 InternetOpen 함수가 있는데, 이는 URL을 통해 데이터를 받아오는 함수이다.
이를 보아 이 파일은 URL에서 데이터를 받아 지정된 관리자의 데이터베이스에 해당 데이터를 추가하는 작업을 수행하는 것을 알 수 있다.
4) 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
언패킹한 파일을 strings로 확인해보자
3)에서 분석했던 CreateService, InternetOpen과 함께 URL을 여는 InternetOpenUrl 함수도 볼 수 있다.
밑에 URL주소가 있는 것을 보아 해당 주소에서 데이터를 받아와 데이터베이스에 추가할 것으로 판단된다.
'Reversing > 윈도우즈보안과악성코드기초' 카테고리의 다른 글
| 기초 정적 분석 - Lab01-04.exe (0) | 2024.04.12 |
|---|---|
| 기초 정적 분석 - Lab01-03.exe (0) | 2024.04.12 |
| 기초 정적 분석 - Lab01-01.exe, Lab01-01.dll (1) | 2024.04.12 |
| PE 파일헤더와 섹션 (1) | 2024.04.06 |
| 기초 정적 분석 (1) | 2024.04.06 |
'Reversing/윈도우즈보안과악성코드기초' Related Articles
more
