1. 분석환경 1.1. 분석 환경 l Windows 10 l Windows XP (vmware) 1.2. 분석 도구 정적 분석 l Virustotal l exeinfope l PEview l upx l BinText 동적분석 l Wireshark 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab01-02.exe 1.4. 질문 파일을 http://www.VirusTotal.com/에 업로드하고 보고서를 확인하십시오. 기존의 안티바이러스 시그니처와 매치되는 파일이 있나요? 이 파일이 패킹되었거나 난독화된 흔적이 있는지 확인하십시오. 그렇다면, 어떤 특징이 있는지 알려주세요. 파일이 패킹되었다면 가능하다면 언패킹 하십시오. 어떤 import가 이 악성코드의 기능을 나타내는..
1. 분석환경 1.1. 분석 환경 l Windows 10 l Windows XP (vmware) 1.2. 분석 도구 정적 분석 l Virustotal l PEID l Dependency Walker l BinText 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab01-01.exe & Lab01-01.dll 1.4. 질문 파일을 http://www.VirusTotal.com/에 업로드하고 보고서를 확인하십시오. 기존의 안티바이러스 시그니처와 매치되는 파일이 있나요? 이 파일들이 언제 컴파일되었는지 알 수 있습니까? 이 파일 중 어떤 것이 패킹되거나 난독화되었는지 나타내는 표시가 있습니까? 있다면, 이 표시는 무엇인가요? 어떤 import가 이 악성코드의 기능을 나타내..
실습을 위한 분석도구 목록과 풀이하면서 도움이 되었던 정보를 모아보았습니다. 출판사 홈페이지 실습에 필요한 lab을 다운받을 수 있음. https://nostarch.com/malware Practical Malware Analysis Download Chapter 12: "Covert Malware Launching" (PDF) Download the labs Visit the authors' website for news and other resources "The book every malware analyst should keep handy." —Richard Bejtlich, CSO of Mandiant & Founder of TaoSecurity nostarch.com 사용 하는 분석도구 정적..
실전 악성 코드와 멀웨어 분석 실습 1-1 또는 Practical Malware Analysis Labs lab01-01.exe를 실행했을 때 문제에 관한 이야기입니다. lab01-01.exe 예제의 경우, 실행하면 C:\WINDOWS\system32 경로에 kerne132.dll이 생성되어야 합니다. 그러나 lab01-01.exe를 더블클릭하여 실행하였을 때 아무런 파일도 생성되지 않는 문제가 있습니다. 처음엔 방화벽이나 기타 보안프로그램에 의해 차단된 것인 줄 알았으나 알고 보니 lab01-01의 경우 파라미터를 입력하지 않으면 kerne132.dll이 생성되지 않도록 되어있었던 것입니다. kernel파일의 경우 시스템에 매우 중요하므로 이런 식으로 사전에 조치를 취해 놓은 것 같습니다. 이는 IDA..