실습 환경 : Vmware (Windows 7 32bit) 사용한 툴 : IDA Free 5.0 1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가? IDA를 사용하여 파일을 열어서 확인해 보면 main이 호출하는 함수는 401000 함수 하나만 보인다. 이 함수를 분석해보면 InternetGetConnectedState API함수를 사용하는 것을 볼 수 있는데 이 함수는 로컬 시스템의 인터넷 연결 상태를 검사하는 함수이다. 이 함수는 인터넷 연결이 설정되어있으면 TRUE(1)을 반환하고 연결이 되어 있지 않으면 FALSE(0)을 반환하는데 아래의 jz문을 통하여 연결을 성공하면 TRUE(1)을 반환하니 점프하지 않고 실패하면 FALSE(0)을 반환하니 점프한다. 즉 if문 구조로 ..

실습 환경 : Vmware (Windows 7 32 bit) 사용한 툴 : IDA Free 1. DllMain의 주소는 무엇인가? IDA Free로 dll을 열면 DllMain에서부터 시작한다. DllMAin의 주소는 .text 섹션의 0x1000D02E이다. 2. Imports 윈도우를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가? Import 윈도우를 열어 확인해본 결과 gethostbyname함수는 .idata 섹션의 0x100163CC에 있다. 3. gethostbyname에 함수는 몇 개인가? getbyhostname에 커서를 두고 Ctrl + x 를 눌러 상호 참조를 확인하니 5개의 서로 다른 함수(sub_10001074, sub_10001365, sub_1000165..

실습 환경 : Vmware (Windows 7 32 bit) 사용한 툴 : IDA Free, PEiD, String 1. 이 파일을 실행했을 때 어떤 일이 발생했는가? 우선 PEiD를 사용하여 패킹 여부를 검사하니 패킹은 되어있지 않았다. 그리고 String을 사용하여 문자열을 찾아보니 아래와 같았다. 문자열을 살펴보니 URL형식의 문자열도 보이고 명령어 형식의 문자와 인자 같은 문자열들이 보였다. 이제 파일을 실행해 보니 조금 뒤 파일이 사라졌다. 아마 특정한 뭔가가 없으면 실행 시 자신을 삭제하는 파일인 것 같다. 2. 동적 분석 시 장애물이 무엇인가? 이 파일은 위에서 처럼 뭔가 조건 없이 실행했을 경우 삭제가 되기 때문에 동적 분석을 하고 싶어도 할 수 없었다. 3. 이 파일을 실행시키는 다른 방..

실습 환경 : Vmware (Windows 7 32 bit) 사용한 툴 : IDA free 5.0, PEiD, PE View, String 1. http://www.VirusTotal.com/에 Lab01-04.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? 파일을 업로드한 결과 64개 중 51개의 안티바이러스 엔진에서 악성코드로 인식하였다. 2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹되어 있으면 가능하다면 언패킹 해보자. PEiD를 사용하여 파일을 열어보니 패킹은 되어있지 않았음을 확인할 수 있다. 3. 이 프로그램은 언제 컴파일됐는가? PE View를 사용하여 파일을 연 뒤에 IMAGE_NT_HEADERS -> IMAGE_FIL..

실습 환경 : Vmware (Windows 7 32bit) 사용한 툴 : IDA free 5.0, PEiD, PE View, Ollydbg 2.01, String 1. http://www.VirusTotal.com/에 Lab01-03.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? 해당 파일을 업로드한 결과 68개의 안티바이러스 엔진 중에서 57개의 엔진이 해당 파일을 악성코드로 진단하였다. 2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있고 가능하다면 언패킹 해보자. PEiD로 열어보니 FSG로 패킹이 되어있음을 확인할 수 있다. 이제 언패킹을 진행하기 전에 FSG패킹에 대하여 구글링을 해보니 FSG패킹의 특징은 jmp문을 3번 ..

실습 환경 : Vmware (Windows 7 32bit) 사용한 툴 : IDA free 5.0, PEiD, PE View, UPX 1. http://www.VirusTotal.com/에 에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? Lab01-02.exe 파일을 업로드한 결과 66개 안티바이러스 시그니처 중 48개와 일치한다. 2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹 해보자. PEiD를 사용해보니 Nothing found *가 나타나서 확인할 수 없었고 PE View를 사용하니 UPX로 패킹한 것을 확인할 수 있었다. 이제 UPX툴을 사용하여 언패킹을 진행해보면 위와 같이 정확한 PE구조가..