1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab06-03.exe 1.4. 질문 이 랩에서는 Lab06-03.exe 파일에서 발견된 악성 코드를 분석합니다 메인 함수에서 Lab 6-02의 메인 메서드의 호출과 비교했을 때 새로운 함수는 무엇인가요? 이 새로운 함수는 어떤 매개변수를 사용하나요? 이 함수는 어떤 주요 코드 구조를 포함하고 있나요? 이 함수는 어떤 기능을 수행할 수 있나요? 이 악성 코드에 대한 호스트 기반 특이점이 있나요? 이 악성 코드의 목적은 무엇인가요? 2. 분석 과정 2.1. 메인 함수에서 Lab 6-02의 ..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (vmware) 1.2. 분석 도구 정적 분석 l IDA 동적 분석 l sysanalyzer 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab06-02.exe 1.4. 질문 이 랩에서는 Lab06-02.exe 파일에서 발견된 악성 코드를 분석합니다 메인에서 호출된 첫 번째 서브루틴이 수행하는 작업은 무엇인가요? 0x40117F에 위치한 서브루틴은 무엇인가요? 메인에서 호출된 두 번째 서브루틴이 하는 일은 무엇인가요? 이 서브루틴에서 사용된 코드 구조는 어떤 유형인가요? 이 프로그램에 대한 네트워크 기반 특이점이 있나요? 이 악성 코드의 목적은 무엇인가요? 2. 분석 과정 2.1. 메인에..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab06-01.exe 1.4. 질문 Lab 06-01: 이 랩에서는 Lab06-01.exe 파일에서 발견된 악성 코드를 분석합니다 메인 함수에서 호출되는 유일한 서브루틴에서 발견된 주요 코드 구조는 무엇인가요? 0x40105F에 위치한 서브루틴은 무엇인가요? 이 프로그램의 목적은 무엇인가요? 2. 분석 과정 2.1. 메인 함수에서 호출되는 유일한 서브루틴에서 발견된 주요 코드 구조는 무엇인가요? 답: internetGetconnectedstate함수를 호출하여 그 리턴값에 따라 분기하는..
-상- 편에 이어서 진행한다. https://naado.tistory.com/59 [실전 악성코드와 멀웨어 분석]Lab05-01.dll, Lab05-01.py -상- 1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA Pro free (5.0) l IDA free (8.3) 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab05-01.dll, Lab05-01.py 1.4. 질문 DllMain의 주소는 naado.tistory.com 11. PSLIST export는 어떤 행위를 하나요? 답: 운영체제의 버전을 판별하고 그에 따라 프로세스 목록을 가져와 전송하거나 xinstall.dl..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA Pro free (5.0) l IDA free (8.3) 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab05-01.dll, Lab05-01.py 1.4. 질문 DllMain의 주소는 무엇인가요? Imports window를 사용하여 gethostbyname에 액세스하세요. 해당 import는 어디에 위치하나요? gethostbyname을 호출하는 함수는 몇 개인가요? 0x10001757에서 위치한 gethostbyname 호출에 주목하면 어떤 DNS 요청이 이루어질 것으로 보이나요? 0x10001656 위치의 서브루틴에 대해 I..
