1. Process Explorer 로 이 악성코드를 모니터링 했을 때 무엇을 알아냈는가?
→ 처음에 Lab03-03.exe. 프로세스가 생기고, 자식 프로세스로 svchost.exe 가 생성되었다. 그리고 Lab03-03.exe 프로세스가 사라져서 svchost.exe는 고아 프로세스가 되었다.
2. 실시간 메모리 변조를 확인할 수 있는가?
→ svchost.exe의 속성의 Strings를 살펴보니 Image String 과 Memory String 이 다름을 알 수 있다.
3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?
→ 우선 svchost.exe 에서 practicemalwareanalysis.log 와 [ENTER] 같은 문자열을 볼 수 있는데 이는 일반적으로 발견되지 않는 문자열이다.
→ 그리고 Lab03-03.exe의 프로세스를 살펴보니 CreateFile 과 WriteFile 등의 함수를 볼 수 있다.
→ 그리고 메모장에 글자 입력 후 생성된 practicalmalwareanalysis.log 파일을 살펴보니 입력했던 글자와 실행파일 이름이 저장되어있음을 살펴 볼 수 있다.
4. 결론
따라서 이 파일은 svchost.exe 로 가장한 키로거로 판단할 수 있다.
'Reversing > 윈도우 악성코드' 카테고리의 다른 글
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -2 (0) | 2021.02.02 |
---|---|
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -1 (0) | 2021.01.28 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-04] (0) | 2021.01.26 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-01] (0) | 2021.01.06 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 01-04] (0) | 2021.01.04 |