[악성코드] 5주차 과제

실습 1 – VirusTotal 사이트에 접속해서 간단한 프로그램을 검증

Visual C++로 만들어졌고 Window32 bits 파일이라는 것을 알 수 있다.

파일의 생성 날짜와 언제 최근 올라온 파일인지 알 수 있다.

실습 2 – WinMD5Free SW를 다운받아 설치 및 검증

 

웹 사이트에 들어가서 WinMD5를 다운로드 받는다.

해당 파일을 넣고 해시 값을 계산하여 웹 사이트에 있는 해시 값과 비교한다.

Verify를 누르면 해시 값이 일치하는지 아닌지를 알려준다.

파일의 변조 여부를 확인하는 실습이다

실습 3 – Strings를 다운받아 설치하고 악성코드가 어떤 결과로 나타나는지 실습

목록을 볼 수 있다. 우리가 다운로드 받은 strings.exe 파일이 있는 것을 확인할 수 있다.

Strings를 입력하면 제대로 실행되는 것을 확인할 수 있다.

PEview 프로그램의 문자열을 검색하였다. 32비트 프로그램이라는 것을 알 수 있다.

KERNEL32.dll 등 정보를 볼 수 있다.

 

실습 4 – UPX를 다운받아 정상프로그램 패킹, PEiD를 다운받아 설치하고 패킹 전후 프로그램의 검증 과정에서 변화가 있는지 확인

PEiD로 악성코드를 확인하였다. C++ 6.0이 라는 것을 알 수 있다.

패킹을 진행하였다. 파일이 원본보다 25% 압축된 것을 알 수 있다.

아까 확인하였던 c++이 사라진 것을 알 수 있고 정상이 아니라 패킹된 것을 알 수 있다.

패킹을 풀었다.