악성코드 분석 방법 및 기초 정적 분석

 

 

 

간략 분석과 상세분석으로 나누어진다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

대충 올리디버거를 생각없이 들어가서 바로 삽질하는게아니라

전체적인 흐름. 지도를 가지고 들어가기위해서 하는것이다.

 

 

 

 

보통은 SHA1 과 MD5 를 가지고 같이 해쉬값을 하긴한다.

 

 

 

 

 

 

 

문자열을 검사하는 도구 strings

 

 

 

 

 

 

 

 

 

 

 

Advapi32.dll 

 

중요한 것을 시사하는데 서비스관리자나 레지스트리 ,자동시작 프로그램에

크게 관여 하기때문에 악성코드가 이것을 다루고있으면 주의깊게 봐야한다

자동실행 메커니즘

 

 

 

 

 

둘다 gui 쪽인 것들

 

user32.dll 

인터페이스쪽이라생각하면된다.

 

gdi32.dll 은

사용자에게 안보이게하거나 그런행위들이 있을수도있고

 

 

 

 

 

 

 

이두개가 들어가면 네트워크를 사용한다 생각하라 

 

WS2_32.dll 

윈도우 소켓 네트워크 하는일은 소켓을 만들어서

서비스포트를 만들어서 통신을 할떄 주로 사용한다.

 

Wininet.dll 

FTP, HTTP, NTP와 같은 상위 수준 프로토콜 구현

네트워크통신, 상위수준의 프로토콜 구현하기때문에

소켓 보다는 더 고수준의 위험성이있다.

 

 

 

 

어떤 파일을 떨구는것이 droper인데

 

4D 5A 라는 MZ 헤더를 가지고있다 

리소스는 그림과 아이콘 메뉴라고 했지만 애는 EXE파일이구나 

이파일을 숨겻구나 할수있는데

 

어떤파일을 떨구는 이것을 droper이라고한다.

 

애를 실행하면 애 내부에 악성코드가 리소스에 깔려있다

이걸 실행하면서 내부적으로 애를 같이 실행한다.