악성코드 분석 (11) 썸네일형 리스트형 PE 분석 오늘은 PE 분석에 대해 알아보는 시간을 가져보도록 할게 생소한 단어들이 많이 나올 텐데 하나씩 정리해가면서 공부해보도록 하자! 1. PE는 뭔가요?? - PE (Portable Executable) file ==> 실행파일에 대한 구조를 가지고 있는 파일이야 윈도우 실행파일, 객체 코드, DLL이 PE 파일을 포맷하고 있고, 윈도우 OS 로더가 래핑(wrapping)한 실행코드를 관리하는 필수 정보를 갖고 있어 - wrapping --> DLL이나 API를 한 곳에 모아주는 기능을 말해 DLL이랑 API는 또 뭔가요...?? ㅜㅜ - DLL(Dynamic Link Library) --> 동적 라이브러리, 필요할 때마다 불러오는 함수 라이브러리는 일종의 해석기 모듈이야 즉, 프로그램에서 자주 쓰이는 표준.. Key Logger 분석 이번 시간에는 key log 기능을 가진 악성코드를 한 번 분석해보도록 할꺼야 지금까지 배웠던 정적 분석과 동적 분석을 다같이 활용하면서 분석해 나가보도록 하자! 먼저 정적 분석부터 시작~ PEview로 PE 분석해본 결과 난독화는 진행되지 않았어 그리고 resource가 들어있는 것을 볼 수 있었는데 A로 가득 들어가있는 것도 확인해 볼 수 있어...! 이제 PEid로 import 함수들이 어떤게 들어있는지 좀 더 알아보도록 하자 PEid 분석해본 결과 import 함수 중에서 kernel32.dll을 보면 virtualAlloc 이 실행되어있음을 확인해볼 수 있어 해당 함수를 진행하면 작업하는 가상 공간을 만들면서 메모리를 가져와서 작업을 실행할 수 있지 그리고 getfilesize가 실행되어 파일의.. 동적분석 (LAB 3-1) 악성코드 동적분석 지난 시간까지는 악성코드 분석기법 중 정적분석에 대해서 공부를 해봤어 (string 분석, PE 분석) 이번 시간에는 악성코드를 가상머신에서 직접 실행해보면서 어떤 동작을 하는지 하나씩 분석해보는 동적분석을 진행해보도록 할거야 새로운 Tool을 사용할 예정이니까 하나씩 잘 따라와보도록 해...!! windows xp에서 LAB03-01.exe 파일 분석 들어갑니다~ 1. PEid 분석 pe분석을 해보려했지만 암호화가 걸려있네? 그렇다면 string 분석을 시도해보도록 하지 string 분석을 해보니까...!! - SOFTWARE\Microsoft\windows\currentVersion\Run --> host기반의 signature 자동실행을 시키는 레지스트리키로 컴퓨터를 종료 후 다시.. 이전 1 2 다음
