떡잎마을방범대

1. 이 파일을 실행시킬 때 어떤 일이 발생하는가? → ProcessExplorer에서 Lab03-04.exe 를 실행시킨 후 살펴보니 Lab03-04.exe에서 conime.exe 의 자식 프로세스를 생성하였고, 그 자식프로세스로 cmd.exe가 생성되었다 그 후에 Lab03-04.exe 가 삭제되었다. 2. 동적 분석시 장애물이 무엇인가? → 해당 파일 실행 후 삭제가 되므로 이후의 분석이 불가능하다. 3. 이 파일을 실행시키는 다른 방법이 없는가? → String을 살펴보니, 주소나 레지스트리 위치 cmd 옵션으로 보이는 문자열등이 보인다. 그러나 기초적인 분석으로는 실행방법을 아직 알아낼 수 없었다.

1. 바이트 검색 idc.find_binary(주소, flag, 검색 바이트) : 해당 주소에서부터 조건에 따라 바이트를 검색해 준다 flag 목록 SEARCH_UP = 0 SEARCH_DOWN = 1 # 위 또는 아래 방향 SEARCH_NEXT = 2 # 다음 찾기 SEARCH_CASE = 4 # 대소문자 구별 여부 SEARCH_REGEX = 8 SEARCH_NOBRK = 16 SEARCH_NOSHOW = 32 SEARCH_UNICODE = 64 ** SEARCH_IDENT = 128 ** SEARCH_BRK = 256 ** **은 ida 옛날버전은 지원 X 2.문자열 찾기 idc.find_text(주소, flag, y, x, 검색 문자열) : flag 의 조건에 따라 주소에서 부터 문자열을 검색 해 ..

1. Process Explorer 로 이 악성코드를 모니터링 했을 때 무엇을 알아냈는가? → 처음에 Lab03-03.exe. 프로세스가 생기고, 자식 프로세스로 svchost.exe 가 생성되었다. 그리고 Lab03-03.exe 프로세스가 사라져서 svchost.exe는 고아 프로세스가 되었다. 2. 실시간 메모리 변조를 확인할 수 있는가? → svchost.exe의 속성의 Strings를 살펴보니 Image String 과 Memory String 이 다름을 알 수 있다. 3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가? → 우선 svchost.exe 에서 practicemalwareanalysis.log 와 [ENTER] 같은 문자열을 볼 수 있는데 이는 일반적으로 발견되지 않는 문자열이다..

1. 주소 리턴 Idc.here(), idc.ScreenEA() : 현재 위치의 주소를 리턴해 준다 Idc.MinEA(), idc.MaxEA() : 최대, 최소 주소를 리턴해 준다 2. 세그먼트 값 리턴 Idc.SegName(주소), idc.SegStart(주소), idc.SegEnd(주소): 주소에 대한 세그먼트 이름,시작, 마지막 주소 리턴 3. 함수 정보 리턴 Idc.GetFunctionName(주소) : 입력 주소의 함수 이름을 리턴 Idautils.Functions(시작 주소, 마지막 주소) : 함수 목록을 리스트 형태로 리턴 Funcltems (주소) : 지정한 함수 주소에서 모든 주소를 리턴해 준다, 리턴 값이 iterator 이다 Names : 이름을 가지고 있는 주소를 리턴해 준다, 리턴..

1. 악성코드의 임포트 함수의 문자열은 무엇인가? → 분석결과 KERNER32.DLL의 ExitProcess만 검출되었는데 이렇게 적게 나온 이유는 패킹되어있을 확률이 높다. → PEID 로 확인결과, PEncrypt 3.1 Final -> junkcode 로 패킹되어있음을 확인할 수 있다. → Unpacking을 진행하려고 하였으나 문서 부족으로 일단 분석을 진행하기로 하였다. 2. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가? → www.practicalmalwareanalysis.com 의 주소를 확인해 줄 수 있다. → 실행 될 것으로 추정되는 exe 파일도 발견할 수 있다. → 특정 계정에 대해 윈도우 시작 프로그램을 영구적으로 등록하는 레지스트리인 SOFTWARE\Microsoft\Wi..

1. 파일이 패킹되거나 난독화된 징후가 있는지 알아보기 PEID 로 열어서 확인 해 본다. → 패킹은 되어있지않고 C++ 로 컴파일 되어있다 2. 이 프로그램은 언제 컴파일 되었는가 → PEview 로 열어서 확인한 결과 컴파일 시간이 2019년 8월 30일이라는 것을 알 수 있는데 이 문제가 만들어진 연도가 로 미루어 보아 이는 조작된 시간임을 추측해 볼 수 있다. 3. 임포트를 통해 악성코드 행위를 감지할 수 있는가? → AdjustTokenPrivileges, LookupPrivilegeValueA, OpenprocessToken 의 함수로 보아 보호된 프로세스접근에 대한 토큰의 권한을 상승시켜 Injection, Hooking 같은 공격을 시도할 것으로 보인다. → CreateFile, Write..