2024. 4. 22. 21:16ㆍInformation Security 정보보안/Malicious Code Analysis 악성 코드 분석
배울내용:
LAB06-03.exe
IDA Pro
IDA 고급 정적분석
고급 정적분석 도구
디스어셈블 도구
실행프로그램 분석
악성코드 분석실습
정적 파일 분석도구
동적 파일 분석도구
automatic analysis
Malicious Code Analysis
고급정적분석 정리
분석파일 : Lab06-03.exe
기본 분석은 많이 했기에 이번에도 간단하게 아래와 같이 나올수있다.
.
01.자동화 분석
71/43 Trojan
02.패킹 여부 확인
.text , C++ 6.0
03. PE구조 확인
PE
04. 임포트 종류
05. 호스트/네트워크 기반 종류
InternetGetConnectedState
InternetReadFile
InternetCloseHandle
InternetOpenUrlA
InternetOpenA
WININET.dll
Error 1.1: No Internet
Success: Internet Connection
Error 2.3: Fail to get command
Error 2.2: Fail to ReadFile
Error 2.1: Fail to OpenUrl
http://www.practicalmalwareanalysis.com/cc.htm
Internet Explorer 7.5/pma
Error 3.2: Not a valid command provided
Error 3.1: Could not set Registry value
Malware
Software\Microsoft\Windows\CurrentVersion\Run
C:\Temp\cc.exe
C:\Temp
Success: Parsed command is %c
이전에 06-02.exe 에서 봤던거랑 매우 유사하다
InternetGetConnectedState
InternetReadFile
InternetCloseHandle
InternetOpenUrlA
InternetOpenA
WININET.dll
를 이용해 인터넷 연결후
Error 2.3: Fail to get command
Error 2.2: Fail to ReadFile
Error 2.1: Fail to OpenUrl
http://www.practicalmalwareanalysis.com/cc.htm
여기주소로 가서 다운받아온 걸
Software\Microsoft\Windows\CurrentVersion\Run
악성코드가 자동으로 실행시키고
C:\Temp\cc.exe
를 실행시커 Malware 를 실행파일을 알려줌
그리고
Success: Parsed command is %c:
성공적으로 처리된 명령을 보여 준다