기초 동석 분석 도구를 이용해 Lab03-01.exe 파일에서 발견된 악성코드를 분석하라
vm 32to 64.exe 를 만든뒤에
videodriver가 실제로 등록이된거같습니다
그래서 레지스트리를 확인해보니까 실제로 등록되있고
자동실행이되게 만든거같습니다
여기서도 악성코드에서 video driver레지스트리를 등록했다는것을 알 수가 있었습니다
그래서 의심이가서
vm32to64.exe를 꺼내왔습니다.
실제로 파일크기도 변경이되고 어떤작업을 했다는 과정을 알게됬습니다.
악성코드의 해쉬값과 vm32to64.exe의 해쉬값을 비교해서 해보니까
똑같은 결과가 나왔습니다.
이것을 보면 악성코드의 파일을 자동실행되게 등록을 해놨다. 라는 것을 알수가있었습니다.
'악성코드 및 포렌식' 카테고리의 다른 글
| 고급 정적 분석 - ida (0) | 2021.03.07 |
|---|---|
| 고급 정적 분석 아이다활용 (0) | 2021.03.07 |
| 기초 동적 분석 도구 (0) | 2021.03.07 |
| 기초 정적 분석 실습 - 2 (0) | 2021.03.07 |
| 기초 정적 분석 실습 -1 (0) | 2021.03.06 |