Red_Message :: 실전 악성코드와 멀웨어 분석 실습 1-3 분석

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 1-3 을 분석해보고자 합니다.

문항수는 줄어들고 있지만 내용은 점점 많아지는 느낌입니다 ㅋㅋ

분석환경은 동일하게  Windows XP / Vmware 9.0.3 build 입니다.

 

1. 바이러스 토탈에서 악성코드 여부 확인하기

    분석하고자 하는 파일은 책에서 제공하는 실습용 악성코드 Lab01-03.exe 입니다.

    37군데에서 악성코드라고 진단하였습니다.

   

   

 

2. 패킹되거나 난독화된 징후 찾기, 패킹이 되어있다면 언패킹하기

    늘 그래왔듯, PEVIEW로 한번 구조를 살펴보겠습니다.

    역시 패킹이 되어 있군요! (사실 안되있으면 문제의 의미가 없겠습니다만...)

    Virtual Size가 3000인데 반해, Size of Raw Data(실제크기)는 0입니다. 패킹의 전형적인 흔적입니다.

    또한 섹션의 명칭 또한 생략되어 있습니다.(text, data, rdata 등..)

   

    DWalker로 임포트 테이블을 살펴보겠습니다.

    LoadLibaryA, GetProcAddress 총 2개의 API가 보입니다.

   역시 패킹의 전형적인 흔적으로서, 악성코드가 임포트하는 DLL을 로드하기 위해 LoadLibrary를 사용하고

    DLL 내부의 함수를 얻기 위해 GetProcAddress를 사용할것으로 예상됩니다.

   

 

    이제 어떤 패킹이 되어있는지 알기위해 PEID를 통해 알아보겠습니다.

    지금까지 보아왔던 UPX가 아니라 FSG1.0이라는 생소한 패킹이네요.

   

    패킹후에 더 자세한 분석이 가능할 것 같습니다. 이 실습파일에 대한 패킹은 18장에서 다루게 됩니다.

    그때 까지 잠시 미뤄두겠습니다.