** 실전 악성코드와 멀웨어 분석에 나오는 연습문제를 공부할 겸 풀이한 것입니다.
1. http://VirusTotal.com/ 에 Lab01-02.exe 파일을 업로드 하자. 기존 안티바이러스에 정의된 것과 일치하는가?
기존 안티바이러스에 정의 되어있으며 스타트페이지 관련 악성코드로 보인다.
This file was last analysed by VirusTotal on 2017-07-12 03:18:18 UTC (4시간, 53분 ago) it was first analysed by VirusTotal on 2011-07-02 17:02:09 UTC.
탐지 비율: 37/62
안티바이러스 | 결과 |
AegisLab | Troj.Downloader.Gen!c |
AhnLab-V3 | Trojan/Win32.StartPage.C26214 |
2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자.
이 파일은 PEiD프로그램을 돌려본 결과 UPX1으로 패킹이 되어있다.
[언패킹]
3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
WININET.dll 에 InternetOpenUrl과 InternetOpen 임포트를 확인할 수 있으며 이는 아마도 인터넷을 열었을때 특정 url로 향하게 하는 기능으로 보인다.
4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
감염된 시스템에서 Malservice라는 이름의 서비스와 보이는 url로 네트워크 트래픽을 확인해보아야 할 것이다.
'악성코드분석(리버싱)' 카테고리의 다른 글
| 1장 연습문제 1-4 (0) | 2017.07.13 |
|---|---|
| 1장 연습문제 1-3 (0) | 2017.07.13 |
| 1장 연습문제 1-1 (0) | 2017.07.13 |
| 윈도우 공통 DLL (0) | 2017.07.13 |
| PE 헤더 내 정보 (0) | 2017.07.13 |