ﾚ(ﾟ∀ﾟ;)ﾍ=З=З=З

동적분석 : 소프트웨어가 실행 중인 환경 하, 다양한 입/출력 데이터, 사용자 상호작용의 변화들을 점검 1. Process Monitor 1) Process Monitor - windowproject.exe 필터 2) windowproject.exe 파일을 실행 - PID 값 3828 확인 3) RegOpenKey, RegQueryValue, RegCloseKey 등 같은 Operation 반복 4) Operation 중 UDP Receive, UDP Unknown 중요 4-1) 첫 번째 UDP Unknown : ‘114.70.37:10004’에 무언가를 send, UDP Receive를 통해 다시 무언가 recieve 4-2) 두 번째 UDP Unknown : 첫 번째 UDP Unknown을 참고하여 ..

정적분석 : 소스 코드의 실행 없이 정적으로 프로그램의 문제를 찾는 과정 1. VirusTotal 1) 68개의 기존 안티바이러스 중에 5개가 일치 2) ‘DETECTION 부분에서 ‘Program:Win32...’을 통해 ‘win32’에서 동작이 되고, ‘Trojan’이라는 단어가 나오는 것을 통해 ‘Trojan’ 형태로 은닉되어 있다가 활동한다고 유추 가능 3) 'Malware' 이라는 단어가 반복적으로 나오는 것을 확인 2. PEID 1) EP Section 부분 - '.text’ 2) ‘Nothing found *' 3) 결론 - 패킹, 난독화 되지 않음 3. WinMD5Free 1) VirusTotal 사이트에서 나온 MD5 해시값과 해당 파일의 해시값(고유값)을 비교 2) 두 해시값이 같으므로..

1) idapractice.exe를 IDA 프로그램을 이용하여 연다. xp professional 사용(windows7 환경), 다운 시 방화벽 끄고 실행 2) 그래프모드로 열린 화면에서 텍스트 모드로 변경한다. 텍스트 모드로 변경(space) 3) 그래프모드에서 행번호와 명령어 코드를 출력하기 위한 옵션을 설정하시오. Options - General - Display disassembly line parts - Line prefixes (graph) 선택 + Number of opcode bytes (graph) 6 설정 4) 단축키를 사용하여 401D90 주소 위치로 이동하시오. 단축키 g : Jump to address - 401D90 이동 5) 그래프 모드에서 화살표 색깔을 보고 무조건 점프, 조..

PuTTY.exe 파일 분석하기 IMAGE_DOS_HEADER MS-DOS Stub Program IMAGE_NT_HEADERS ( IMAGE_FILE_HEADER ) IMAGE_NT_HEADERS ( IMAGE_OPTIONAL_HEADER ) IMAGE_SECTION_HEADER ( IMAGE_SECTION_HEADER .text )

어셈블리로 작성된 코드 열자마자 시작 주소 ( EP가 시작주소이며 코드가 간단하고 명확(stub code가 없이)하게 작성되어 있음) 총 3개의 API 함수 사용 -> MessageBoxA, GetDriveTypeA, ExitProcess 00401002 PUSH 402000 ;Title="abex'1st crackme" -> dump 402000 위치로 이동하면 Title 내용 담겨져 있는 것을 확인할 수 있음 0040100E CALL 00401061 ;MessageBoxA, 함수내부에서 ESI=FFFFFFFF로 셋팅됩니다. -> 해당 번지인 00401061을 호출 ( 점프 ) 더보기 ※ [ 00401061 JMP DWORD PTR DS:[} ;USER32.MessageBox ] USER32 : use..