IT 공부방

Lab01-01.exe 파일을 분석하라 질문 1. http://www.virustotla.com/ 에 Lab01-04.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? A : 70개의 엔진 중 56개 엔진이 탐지하였다. 2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있고 가능하다면 언패킹 해보자. A : PEID로 확인했을 경우 패킹된 흔적을 찾을 수 없었다. 3. 이 프로그램은 언제 컴파일되었는가? A : 2019/08/30 22:26:59 UTC에 컴파일된 것으로 보인다. 4. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있는가? KERNEL32.DLL 위의 사진에서 lstrcmp\ ls..

Lab01-03.exe 파일을 분석하라. 질문 1. https://www.virustotal.com/에 에 Lab01-03.exe 파일을 업로드하여, 기존 안티바이러스에 정의된 것과 일치하는가? A : 58개 엔진이 발견하였다. 2. 이 파일이 패킹되거나 난독화 된 징후가 있는가? 그렇다면 무엇으로 판단하였는가? A : PEID 도구로 판단하였으며, FSG1.0 -> dulek/xt로 패킹된 흔적을 찾을 수 있었다. FSG로 패킹된 파일을 자동으로 언패킹해주는 도구를 찾을 수 없어서 ollydbg를 사용하여 main 함수를 찾아서 dump를 하는 방식으로 하였다. *FSG Packing특징 : 세번의세 번의 JMP구문을 반복한다는 특징이 있다. 위의 그림과 같이 JNZ, JE, JNZ 세 번의 점프 문 ..

Lab01-02.exe 파일을 분석하라. 질문 1. https://virustotal.com/에 Lab01-02.exe 파일을 업로드하여, 기존 안티바이러스에 정의된 것과 일치하는가? A : 67개의 엔진중에 43개 엔진이 파일을 발견하였다 대표적으로 안랩-V3에서 Trojan/win32.StartPage.C26214로 탐지되었다. 2. 이 파일이 패킹되거나 난독화 된 징후가 있는가? 그렇다면 무엇으로 판단하였는가? A : UPX로 패킹되어 있고 , PEID를 이용하여 판단하였다 UPX 도구를 이용하여 Unpacking을 하였다. 3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 무엇으로 판단하였는가? A : ADVAPI32.DLL 및 WINNET.DLL이 임포트 되어 있었다. ADVAP..

!! 해당 자료가 저작권상 문제가 있다면 해당 글을 바로 삭제하겠습니다. 실습 목적 1장에서 배운 기술을 연습할 기회를 제공하기 위함이다. 실습 1-1 Lab01-01.exe와 Lab01-01.dll 파일을 사용하여 분석한다. 파일에 관한 정보를 얻으려면 1장에서 사용한 기법과 도구를 사용하고 다음 질문에 대답해보자. 질문 1.http://www.virustotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가? Lab01-01.exe 파일 43/71의 백신에서 탐지하였습니다. 대중적으로 알고 계신 백신은 ALYac, AhnLab-V3 백신에서 탐지한 것을 알 수 있습니다. Lab01-01.dll 파일 31/69개의 백신이 탐지하였습니다. 많은 백신..