2018-12-20
320Malware 분석
- 정적분석
- tool : PEView, exeinfo, md5checksum, bintext
- tool : PEView, exeinfo, md5checksum, bintext
[ 크기가 같은 세개의 PE ]
파일의 크기가 같으니 의심
파일의 크기가 같으니 의심
[ MD5 Checksum ]
'AmAgent'와 '5fcd6e' 가 같은 헥사값
같은 파일임이 증명
[ Exeinfo PE ]
Subsystem : Windows GUI - exe파일임을 증명
Lamer : 겉햝기식
[ 컴파일러 6.0 version => Visual Studio 6.0 ]
[ .text ]
대체적으로 코드값이 들어있음
[ IAT ]
사용한 dll과 주소들
[ BinText ]
///PhysicalDrive - 드라이브로 직접접근흔적-> 의심
taskkill /F /IM pasvc.exe - Ahnlab의 정책관리.exe를 끄기
taskkill /F /IM Clisvc.exe - 하우리(바이로봇)의 정책관리.exe를 끄기
SeShutdownPrivilidge
- Binary Diffing
- tool : diffing tool, DarunGrim
- tool : diffing tool, DarunGrim
[ 전체적인 그림으로 먼저 파악 ]
[ INC : 1씩 증가 ]
[ for문 ]
[ 코드난독화 : 헥사값에 의존불가능 ]
[ ROR : Rotate Right ]
ROL : Rotate Left
Shitf연산
1)Left Shift 2)Right Shift
0001 ROR: 0010 ROL: 1000 Left Shift: 0010
(두번하면 0100=4, 세번하면 1000=8(hex)>2의배수)
Right Shift: 1000
(두번하면 0100=4,나누기2)
[ LODS ESI : ESI -1byte하면서 읽기 ]
LOOPD : ECX값만큼 00302383-LOOP
[ ECX가 zero면 jump ]
[ CLEAR DIRECTION FLAG ]
파일읽고 쓰기 방법
1. 파일열기
CreateFile, 파일읽기: ReadFile, 파일쓰기: WriteFile. 파일닫기: CloseHandle
2.MMF(memory mapped file)
파일의 모든 정보를 메모리 주소에 맞춰서 mapping. kernel이 file이라 생각하지 않고 메모리 주소라고 인식해서 찾아서 연결해줌
[ CreateThread ]
No comments:
Post a Comment