1. main 함수가 호출하는 첫 번째 서브루틴은 무슨 오퍼레이션을 수행하는가?
→ 첫 번째 호출함수는 sub_401000 이다.
→ 401000함수는 인터넷 연결을 확인한다.
2. 0x40117f에 위치한 서브루틴은 무엇인가?
→ stbuf 와 ftbuf 가 있는 것으로 보아 printf 와 같이 문자를 출력하는 역할을 하는 것으로 보인다.
3. main 함수가 호출하는 두 번째 서브루틴은 무엇인가?
→ main 함수가 호출하는 두 번째 서브루틴은 sub_401040 이다.
4. 이 서브루틴에서 사용한 코드 구조는 어떤 유형인가?
→ 우선 http://www.practicalmalwareanalysis.com/cc.htm 에 인터넷 접속을 시도한다.
→ 그리고 읽어온 파일의 문자열을 하나씩 비교하는데, 이는 HTML 주석인 <!—을 비교하는 구문이다.
5. 결론
다음 코드의 목적은 인터넷 연결을 시도하고, 연결이 성공하면 웹 페이지를 다운로드 하고 그 웹 페이지에 HTML주석이 있는지를 검사하는 코드이다.
'Reversing > 윈도우 악성코드' 카테고리의 다른 글
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 06-03] (0) | 2021.02.23 |
---|---|
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 06-01] (0) | 2021.02.13 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -2 (0) | 2021.02.02 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -1 (0) | 2021.01.28 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-04] (0) | 2021.01.26 |