Malicious Code/Analysis
[6] 악성코드 분석
[6] 악성코드 분석
2022.01.31- 2022.01.31 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows Architecture : x64 Tools : IDA, pestudio, peview 6번째 악성코드 분석이다. 오늘은 파일 Lab07-03.exe와 Lab07-03.dll 을 분석해 보았다. 파일명이 같은것으로 보아서는 exe파일이 실행되면 dll을 같이 연동해서 사용되는 악성코드로 보여진다. [ 정적분석 ] pestudio로 사용되는 함수들을 확인해보았다. 익숙한 여러 함수들이 보인다. Mutex함수는 지난 6번째 악성코드 분석때 한번 확인했었고 Create @@는 이제 생성 혹은 실행을 의미하..
[5] 악성코드 분석
[5] 악성코드 분석
2022.01.28- 2022.01.28 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows Architecture : x64 Tools : IDA, SysAnalyzer, peview, pestudio [정적분석] peview에서 파일을 열어보았다. MZ 시그니처인 5A4D를 보아 exe파일임을 확인할 수 있다. 그 다음 Time Stamp를 확인하였다. 2011년 09월 30일 마지막으로 컴파일된 파일이다. pestudio를 이용해 string 함수를 살펴보았다. 이 악성코드 파일 안에서 사용되는 함수들을 확인할 수 있다. 가장 위의 특정 링크 주소와 함수 SetWaitableTimer,..
[4] reverseMe.exe 분석
[4] reverseMe.exe 분석
2022.01.23- 2022.01.23 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows Architecture : x64 Tools : PEView, PEStudio, IDA reversMe.exe파일을 리버싱 해보기로 했다. 일단 해당 파일은 악성코드가 아닌 일반 정상적인 프로그램이다 분석과 전체 구조를 가볍게 공부해야하기에는 가벼운 프로그램만큼 분석이 편한건 없는것같다. 프로그램을 실행하면 위와 같이 나온다. Evaluation period out of date. Purchase new license... 간단히 새로운 라이센스를 구매하라는 메세지가 나오면서 프로그램이 종료가 된다...
[3] 악성코드 분석
[3] 악성코드 분석
2021.11.08- 2021.11.08 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows 10 pro Architecture : 64bit Tools : IDA maleware file : pingguo_21561000328[1].exe [ 과제 목차 ] > IDA를 이용하여 코드를 분석하고 해독 > IDA를 이용하여 코드 내의 상호 참조를 찾아서 체크 > IDA를 이용한 바이너리 패치(프로그램바이트 패치) [ IDA를 이용하여 파일을 분석하여 해동 ] 메모리주소 text:0043544F 의 붉은 영역에서 지역변수들을 확인할 수 있다.지역변수는 -로 체크가 되며 총 7개로 확인되었다. 메..
[2] 악성코드 분석
[2] 악성코드 분석
2021.11.08- 2021.11.01 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows 7 pro Architecture : 32bit Tools : OllyDbg200, PEStudio, PEView malware file : [ 악성코드에 취약한 함수 찾기 ] [ 함수 목록 ] > GetProcAddress > GetMeoduleHandle > LoadLibrary [ 취약 함수 설명 ] > GetProcAddress 메모리로 load한 dll에서 함수 주소를 검색한다. PE 헤더에서 import한 함수 뿐 아니라 다른 dll에서 함수를 import할 때 사용한다. > GetMeod..