** 실전 악성코드와 멀웨어 분석에 나오는 연습문제를 공부할 겸 풀이한 것입니다.
1. http://www.VirusTotal.com/ 에 Lab01-03.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
Lab01-03.exe 파일을 업로드 한 결과 패커로 탐지가 되는 것을 확인하였다.
This file was last analysed by VirusTotal on 2017-07-11 05:11:41 UTC (1일, 3시간 ago) it was first analysed by VirusTotal on 2011-07-04 22:00:08 UTC.
탐지 비율: 56/63
안티바이러스 | 결과 |
Ad-Aware | Packer.FSG.A |
ALYac | Packer.FSG.A |
2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있고 가능하다면 언패킹해보자.
해당 파일을 PEiD 프로그램으로 돌려본 결과 FSG 1.0 패커로 패킹이 되어있다.
따라서 현재 배웠던 UPX 언패킹 프로그램으로는 언패킹이 불가능하다.
3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
2번 문제 처럼 현재 패킹이 되어있는 상태여서 PEview로 파일을 확인해보면 임포트를 확인할 수 가 없다.
따라서 언패킹이 진행이 되어야 확인이 가능할 것으로 보인다.
4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
3번 문제와 마찬가지로 언패킹이 진행되어야 한다.
'악성코드분석(리버싱)' 카테고리의 다른 글
| 악성코드 분석가가 주로 보게 되는 윈도우 함수 1 (0) | 2017.07.13 |
|---|---|
| 1장 연습문제 1-4 (0) | 2017.07.13 |
| 1장 연습문제 1-2 (0) | 2017.07.13 |
| 1장 연습문제 1-1 (0) | 2017.07.13 |
| 윈도우 공통 DLL (0) | 2017.07.13 |