악성코드 분석/동적 분석

실전 악성코드와 멀웨어 분석 실습 - 6 - 1

IT공부 2020. 1. 21. 17:27
반응형

기초 동적 분석 

Import 함수 정보 

 

KERNEL32 와 WININET 2개가 존재합니다.

 

WININET은 HTTP 프로토콜과 상호작용을 할 수 있게 해주는 것이며,

임포트하고 있는 InternetGetConnectedState는 로컬 시스템에 인터넷 연결 상태를 확인하는 API입니다. 

(LAN, Modem, proxy 등 무엇을 사용하여 인터넷을 이용하는지  확인할 수도 있다.)

 

 

1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가?

main 함수에서 첫번째 등장하는 서브루틴 0x401000의 위치한 if구문으로 인터넷 상태를 체크하기 위해서 비교하는 구문이 존재 한다. 

 

 

위 그림을 보면 if구문이 사용되었느지 가독성이 떨어진다. 확실히 확인 하기 위해서 그래프모드로 확인한 결과 if구문이 사용되었다는 것이 가독성이 뛰어났다.

2. 0x40105F에 위치한 서브루틴은 무엇인가? 

아래에 사진을 보면 sub_40105F 위에 Success 라는 문자열이 push되는 것을 보아서 printf는 0x40105F에 위치한 서브루틴이란 것을 추측할 수 있었다. 

 

3. 이 프로그램의 목적은 무엇인가? 

이 프로그램은 인터넷 연결의 활성화 여부를 확인하는 프로그램이다. 악성코는 인터넷 접속 시도 전에 이 프로그램을 사용하는 것으로 짐작된다.