울산UCA코딩아카데미  악성코드 멀웨어 정적분석의 기본 --(1)

바이러스토탈사이트  활용하기

winMD5툴로 악성코드 멀웨어의 MD 해시값 비교해보기

![Windows7\_32bit (REVERSING)-2024-03-09-21-37-26](https://server.tilnote.io/images/pages/0399b0bf-bd0c-4497-829b-60867aec795d.png)

파일 PE헤더에서 파일의 작성시간 알아내기

PE view, PEDIT 등의 툴을 사용하면 편리하다.

![Windows7\_32bit (REVERSING)-2024-03-09-21-38-02](https://server.tilnote.io/images/pages/e14102c4-f7b4-4712-acc7-80f8717e0b0c.png)

바이러스 토탈사이트에서 비교하기

![Windows7\_32bit (REVERSING)-2024-03-09-21-38-30](https://server.tilnote.io/images/pages/22cbca3a-84e8-4939-9f02-db88de3ff2d2.png)

winsocket DLL

send, recv, connect 등의 함수가 보인다

악성코드 멀웨어가 C&C서버와 연결해서 자료를 송수신하는데 사용될 수 있다.

![Windows7\_32bit (REVERSING)-2024-03-09-21-41-45](https://server.tilnote.io/images/pages/3d442e9c-a87a-41de-8016-8e6a9f72b62a.png)

strings.exe로 정적분석

![Windows7\_32bit (REVERSING)-2024-03-09-21-46-19](https://server.tilnote.io/images/pages/ed7b627b-c4f2-4701-b2d0-d071eae9ed7f.png)

127\.26.15.13 처럼 C&C서버 IP어드레스 주소를 알아냄

![Windows7\_32bit (REVERSING)-2024-03-09-21-51-43](https://server.tilnote.io/images/pages/6e0f9fa9-aa31-47b4-ad01-af19ebbe674e.png)

strings.exe로 정적분석에서 악성코드 내부문자열을 통해 꽤 많은 정보를 획득할 수 있다.

![Windows7\_32bit (REVERSING)-2024-03-09-21-56-58](https://server.tilnote.io/images/pages/d29c9c31-de9b-4886-8f95-307bd12fc9bc.png)

kernel32.dll 아닌

kerne132.dll 위장파일

![Windows7\_32bit (REVERSING)-2024-03-09-21-59-52](https://server.tilnote.io/images/pages/75c4c188-b311-483e-a0f9-68ee23f848d0.png)

리소스해커로 EXE 실행파일안에 숨어있는 바이너리를 추출해서 빼낼수 있다.

다시 바이러스토탈에 분석 의뢰한다.

![Windows7\_32bit (REVERSING)-2024-03-09-22-07-12](https://server.tilnote.io/images/pages/f4b775c1-b8eb-452c-83d1-018d606b0ce5.png)

자세한건 ulsancoding.com의  리버싱 관련 게시물을 참고바랍니다.

울산UCA코딩아카데미 악성코드 멀웨어 정적분석의 기본 --(1)바이러스토탈사이트 활용하기winMD5툴로 악성코드 멀웨어의 MD 해시값 비교해보기<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-37-26" src="https://server.tilnote.io/images/pages/0399b0bf-bd0c-4497-829b-60867aec795d.png">파일 PE헤더에서 파일의 작성시간 알아내기PE view, PEDIT 등의 툴을 사용하면 편리하다.<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-38-02" src="https://server.tilnote.io/images/pages/e14102c4-f7b4-4712-acc7-80f8717e0b0c.png">바이러스 토탈사이트에서 비교하기<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-38-30" src="https://server.tilnote.io/images/pages/22cbca3a-84e8-4939-9f02-db88de3ff2d2.png">winsocket DLLsend, recv, connect 등의 함수가 보인다악성코드 멀웨어가 C&amp;C서버와 연결해서 자료를 송수신하는데 사용될 수 있다.<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-41-45" src="https://server.tilnote.io/images/pages/3d442e9c-a87a-41de-8016-8e6a9f72b62a.png">strings.exe로 정적분석<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-46-19" src="https://server.tilnote.io/images/pages/ed7b627b-c4f2-4701-b2d0-d071eae9ed7f.png">127.26.15.13 처럼 C&amp;C서버 IP어드레스 주소를 알아냄<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-51-43" src="https://server.tilnote.io/images/pages/6e0f9fa9-aa31-47b4-ad01-af19ebbe674e.png">strings.exe로 정적분석에서 악성코드 내부문자열을 통해 꽤 많은 정보를 획득할 수 있다.<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-56-58" src="https://server.tilnote.io/images/pages/d29c9c31-de9b-4886-8f95-307bd12fc9bc.png">kernel32.dll 아닌kerne132.dll 위장파일<img alt="Windows7_32bit (REVERSING)-2024-03-09-21-59-52" src="https://server.tilnote.io/images/pages/75c4c188-b311-483e-a0f9-68ee23f848d0.png">리소스해커로 EXE 실행파일안에 숨어있는 바이너리를 추출해서 빼낼수 있다.다시 바이러스토탈에 분석 의뢰한다.<img alt="Windows7_32bit (REVERSING)-2024-03-09-22-07-12" src="https://server.tilnote.io/images/pages/f4b775c1-b8eb-452c-83d1-018d606b0ce5.png">자세한건 ulsancoding.com의 리버싱 관련 게시물을 참고바랍니다.

[UCA울산코딩아카데미] 악성코드 멀웨어 정적분석 --(1)