연습 샘플 분석 - 1 기초 정적 분석

 

 

 

7-1번

 

 

exeifo 와 pestudio를 통해 일단은 분석을 해봅시다.

 

 

 

 

여러가지 플러그인을 제공하는데 해보는 것도괸찮다.

 

특히 언패킹에 대한 기능이나와서 어디서 어떻게하는지를 알수있다.

 

 

 microsoft visual c++ ver 5.0/6.0에서 컴파일된걸로 확인이됩니다.

 

 

 

 

이제 pestudio를 이용해서 확인해봅시다.

 

 

 

 

애는 다양하게 정보를 줍니다.

 

 

이프로그램에대한 대략적인 정보를 파악해서 악성코드가 아닌지 기준을 가지고 때려줍니다

 

virustotal에서는 42/67 개의 백신이 탐지를하고있고

 

블랙리스트의 string이 38개가 판별됬고

 

interneturl을 오픈하는 api 가 두번 들어있고

 

scm 서비스 컨트롤 매니저가 들어가있다고 확인도해줄수있습니다.

 

 

검은색은 특이한 상황이지만 인포메이션쪽이고 위에높을수록 주의깊게봐야합니다.

'

 

 

 

libraries 에 가보니까 winnet.dll 은악성코드에서 사용하는 그런 라이브러리이기 때문에

이것을 사용하고있다면 악성행위가 있을수도있다.

 

 

 

 

 

imports부분을 보면 이렇게 다양하게 사용되는 애들을 볼수가있습니다. 

함수들을 볼수있다.

 

 

 

이런식으로 url 오픈한다는 사실 (다운도르관련) 서비스 등록할거같기도하고

 

dll인젝션에 관련되는 여러개가 사용되는데 꼭 그렇지는않다.  주로 하는 역할이

함수를 불러온다

 

getprocaddress 는 dll로부터 함수를 불러오는놈이고

loadlibrary 는 보통 dll을 불러오는 친구이다

 

그래서 가장먼저kernel32.dll에서 messagebox를 사용하고싶다 근데 내가사용하는 프로그램이 

 이메세지 박스라는 그 함수를 안가지고있다 dll에 임포트 하지도 않았다

loadlibrary라는 함수를 써서 dll을 임포트 즉 불러오고 그다음에

getprocaddress 메세지박스에대한 함수를 불러오면된다  즉 messagebox의 함수 위치를 가져온다

궁극적으로 messagebox 함수를 실행시킬수가 있는것이다. 어떤함수를 실행시키기위해준비하고 있다는 것을알았습니다.

 

 

 

 

strings에서 블랙리스트만 봤을때

 

 

strings를 보니까 IAT에 없는 함수들이 몇개존재합니다.

 

 

 

getprocaddress 

loadlibrary 

 

그전에봤던

애네를 써서 불러올수도 있으니까 그떄 동작해서 

IAT에 없는 함수들이 몇개존재할 수있다.

 

 

맨밑에 있는 URL 에서 무언가를 요청하겠구나~~~ 하고 생각할수 있습니다.

 

왠만하면 블랙리스트 에서말고도 다보는게좋다.

 

 

 

그래서 보면 밑에

malservice라는게 보이게되고

 

서비스를 등록하는 애들로 바로 보입니다. 

 

그리고 정적 분석을 통해 어느정도 파악했으니까 그뒤에는 동적분석으로 파악해봅니다.