1. 분석 환경1.1. 분석 환경l Windows 10l Windows XP (VMware) 1.2. 분석 도구정적 분석l IDA 1.3. 분석 샘플Practical Malware Analysis Labs - Lab07-02.exe 1.4. 질문이 랩에서는 Lab07-02.exe 파일에서 발견된 악성 코드를 분석합니다1. 이 프로그램은 어떻게 지속될 수 있나요?2. 이 프로그램의 목적은 무엇인가요?3. 이 프로그램은 언제 실행이 완료될 것인가요? 2. 분석 과정2.1. IDA 분석Lab07-02는 비교적 간단한 구조였으며 호출되는 서브루틴도 없었다.http://www.malwareanalysisbook.com/ad.html URL로 보아 이곳으로 접속할 것으로 추측한다. ..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab07-01.exe 1.4. 질문 이 랩에서는 Lab07-01.exe 파일에서 발견된 악성 코드를 분석합니다 이 프로그램은 컴퓨터가 다시 시작될 때 지속적으로 실행되도록 어떻게 보장되나요? 이 프로그램이 뮤텍스를 사용하는 이유는 무엇인가요? 이 프로그램을 감지하기 위한 좋은 호스트 기반 시그니처는 무엇인가요? 이 악성 소프트웨어를 감지하기 위한 좋은 네트워크 기반 시그니처는 무엇인가요? 이 프로그램의 목적은 무엇인가요? 이 프로그램은 언제 실행을 마치게 되나요? 2. 분석 과정 2.1..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab06-04.exe 1.4. 질문 이 랩에서는 Lab06-04.exe 파일에서 발견된 악성 코드를 분석합니다 6-03과 6-04 랩의 메인 메서드에서 이뤄진 호출 간의 차이는 무엇인가요? 메인에 어떤 새로운 코드 구조가 추가되었나요? 이 랩의 HTML 파싱 함수와 이전 랩의 함수 간의 차이는 무엇인가요? 이 프로그램은 얼마 동안 실행될 것인가요? (인터넷에 연결되어 있다고 가정합니다.) 이 악성 코드에 대한 새로운 네트워크 기반 특이점이 있나요? 이 악성 코드의 목적은 무엇인가요? 2..
1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab06-01.exe 1.4. 질문 Lab 06-01: 이 랩에서는 Lab06-01.exe 파일에서 발견된 악성 코드를 분석합니다 메인 함수에서 호출되는 유일한 서브루틴에서 발견된 주요 코드 구조는 무엇인가요? 0x40105F에 위치한 서브루틴은 무엇인가요? 이 프로그램의 목적은 무엇인가요? 2. 분석 과정 2.1. 메인 함수에서 호출되는 유일한 서브루틴에서 발견된 주요 코드 구조는 무엇인가요? 답: internetGetconnectedstate함수를 호출하여 그 리턴값에 따라 분기하는..
-상- 편에 이어서 진행한다. https://naado.tistory.com/59 [실전 악성코드와 멀웨어 분석]Lab05-01.dll, Lab05-01.py -상- 1. 분석 환경 1.1. 분석 환경 l Windows 10 l Windows XP (VMware) 1.2. 분석 도구 정적 분석 l IDA Pro free (5.0) l IDA free (8.3) 1.3. 분석 샘플 Practical Malware Analysis Labs - Lab05-01.dll, Lab05-01.py 1.4. 질문 DllMain의 주소는 naado.tistory.com 11. PSLIST export는 어떤 행위를 하나요? 답: 운영체제의 버전을 판별하고 그에 따라 프로세스 목록을 가져와 전송하거나 xinstall.dl..
