윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-04]

1. 이 파일을 실행시킬 때 어떤 일이 발생하는가?

→ ProcessExplorer에서 Lab03-04.exe 를 실행시킨 후 살펴보니 Lab03-04.exe에서 conime.exe 의 자식 프로세스를 생성하였고, 그 자식프로세스로 cmd.exe가 생성되었다 그 후에 Lab03-04.exe 가 삭제되었다.

 

2. 동적 분석시 장애물이 무엇인가?

 

→ 해당 파일 실행 후 삭제가 되므로 이후의 분석이 불가능하다.

 

3. 이 파일을 실행시키는 다른 방법이 없는가?

→ String을 살펴보니, 주소나 레지스트리 위치 cmd 옵션으로 보이는 문자열등이 보인다. 그러나 기초적인 분석으로는 실행방법을 아직 알아낼 수 없었다.