실습 1 – VirusTotal 사이트에 접속해서 간단한 프로그램을 검증
Visual C++로 만들어졌고 Window32 bits 파일이라는 것을 알 수 있다.
파일의 생성 날짜와 언제 최근 올라온 파일인지 알 수 있다.
실습 2 – WinMD5Free SW를 다운받아 설치 및 검증
웹 사이트에 들어가서 WinMD5를 다운로드 받는다.
해당 파일을 넣고 해시 값을 계산하여 웹 사이트에 있는 해시 값과 비교한다.
Verify를 누르면 해시 값이 일치하는지 아닌지를 알려준다.
파일의 변조 여부를 확인하는 실습이다
실습 3 – Strings를 다운받아 설치하고 악성코드가 어떤 결과로 나타나는지 실습
목록을 볼 수 있다. 우리가 다운로드 받은 strings.exe 파일이 있는 것을 확인할 수 있다.
Strings를 입력하면 제대로 실행되는 것을 확인할 수 있다.
PEview 프로그램의 문자열을 검색하였다. 32비트 프로그램이라는 것을 알 수 있다.
KERNEL32.dll 등 정보를 볼 수 있다.
실습 4 – UPX를 다운받아 정상프로그램 패킹, PEiD를 다운받아 설치하고 패킹 전후 프로그램의 검증 과정에서 변화가 있는지 확인
PEiD로 악성코드를 확인하였다. C++ 6.0이 라는 것을 알 수 있다.
패킹을 진행하였다. 파일이 원본보다 25% 압축된 것을 알 수 있다.
아까 확인하였던 c++이 사라진 것을 알 수 있고 정상이 아니라 패킹된 것을 알 수 있다.
패킹을 풀었다.
'Malware > 윈도우즈 보안과 악성코드 기초' 카테고리의 다른 글
| [악성코드] 6주차, 정적분석 (0) | 2021.11.19 |
|---|---|
| [악성코드] 7주차, 동적분석 (0) | 2021.11.19 |
| [악성코드] 4주차 과제 (0) | 2021.11.19 |
| [악성코드] 3주차, 문자열 패치 실습 (0) | 2021.11.19 |
| [악성코드] 2주차 과제 (0) | 2021.11.19 |
