검색
검색
공개 노트 검색
회원가입로그인

악성코드 멀웨어 정적분석 --(1)

악성코드 멀웨어 정적분석의 기본 --(1)

바이러스토탈사이트 활용하기

winMD5툴로 악성코드 멀웨어의 MD 해시값 비교해보기

Windows7_32bit (REVERSING)-2024-03-09-21-37-26

파일 PE헤더에서 파일의 작성시간 알아내기

PE view, PEDIT 등의 툴을 사용하면 편리하다.

Windows7_32bit (REVERSING)-2024-03-09-21-38-02

바이러스 토탈사이트에서 비교하기

Windows7_32bit (REVERSING)-2024-03-09-21-38-30

winsocket DLL

send, recv, connect 등의 함수가 보인다

악성코드 멀웨어가 C&C서버와 연결해서 자료를 송수신하는데 사용될 수 있다.

Windows7_32bit (REVERSING)-2024-03-09-21-41-45

strings.exe로 정적분석

Windows7_32bit (REVERSING)-2024-03-09-21-46-19

127.26.15.13 처럼 C&C서버 IP어드레스 주소를 알아냄

Windows7_32bit (REVERSING)-2024-03-09-21-51-43

strings.exe로 정적분석에서 악성코드 내부문자열을 통해 꽤 많은 정보를 획득할 수 있다.

Windows7_32bit (REVERSING)-2024-03-09-21-56-58

kernel32.dll 아닌

kerne132.dll 위장파일

Windows7_32bit (REVERSING)-2024-03-09-21-59-52

리소스해커로 EXE 실행파일안에 숨어있는 바이너리를 추출해서 빼낼수 있다.

다시 바이러스토탈에 분석 의뢰한다.

Windows7_32bit (REVERSING)-2024-03-09-22-07-12

자세한건 ulsancoding.com의 리버싱 관련 게시물을 참고바랍니다.

공유하기
카카오로 공유하기
페이스북 공유하기
트위터로 공유하기
url 복사하기
조회수 : 153
heart
T
페이지 기반 대답
AI Chat