실전 악성 코드와 멀웨어 분석 실습 1-1 또는 Practical Malware Analysis Labs lab01-01.exe를 실행했을 때 문제에 관한 이야기입니다.
lab01-01.exe 예제의 경우, 실행하면 C:\WINDOWS\system32 경로에 kerne132.dll이 생성되어야 합니다.
그러나 lab01-01.exe를 더블클릭하여 실행하였을 때 아무런 파일도 생성되지 않는 문제가 있습니다.
처음엔 방화벽이나 기타 보안프로그램에 의해 차단된 것인 줄 알았으나 알고 보니 lab01-01의 경우 파라미터를 입력하지 않으면 kerne132.dll이 생성되지 않도록 되어있었던 것입니다. kernel파일의 경우 시스템에 매우 중요하므로 이런 식으로 사전에 조치를 취해 놓은 것 같습니다.
이는 IDA에서도 확인할 수 있습니다.
warning_this_will_destroy_your_machine이라는 문자열을 입력하지 않고 그냥 실행 시 하늘색 선을 따라 바로 프로그램이 종료됨을 확인할 수 있습니다.
파라미터를 확인 후 Lab01-01.exe가 있는 폴더에서 cmd를 실행 후 다음과 같이 입력합니다.
이제 다시 system32 폴더에 들어가 보면 제대로 kerne132.dll이 생성됨을 확인할 수 있습니다.
