목차

1. VIRUS TOTAL
2. EXEINFO PE를 통해 자세한 패킹 여부 확인
3. HXD
4. pe파일 분석
5. Stud PE로 뽑은 DLL파일 및 함수 분석
6. BINTEXT를 통해 string을 뽑아낸다
7. Autornus
8. winalysis
9. process explorer
10. process monitor
11. TCPview
12. wireSharke

본문내용

* machine: cpu의 고유한 식별값을 알 수 있는 멤버(32bit=ox014c, 64bit=ox2000)인데, 이 악성코드파일은 0X014C이므로 32bit임을 알 수 있다.
* numberofsection: 섹션의 수를 담고 있는 멤버이다. 5개의 섹션이 있는걸 알 수 있다. 이 파일은 data부분이 0x0005인데, 만약 감염 전 파일이 있다면 비교해 보고 싶다. 감염 전 파일은 data부분이 0x0004일 수도 있다. 원본 파일의 맨 뒤에 바이러스를 첨가 시크는 appending 바이러스의 유형이 있는데, 바이러스의 추가할 부분을 만들기 위해선 섹션이 필요하다. 그래서 data부분이 1증가하는 경우가 있기 때문이다. 아쉽게도 비교할 수 있는 감염 전 파일이 없어서 대비해보지는 못했지만, 가능성이 있는 시나리오다.
* timeDateStamp: 생성/빌드 된 시간을 나타내는 멤버이다.
* sizeOfOptionalHeader: 보통 E0을 가지는데, Optional Header의 크기를 알 수 있다.

<중 략>

* GDI32.dll - 출력되는 그래픽 콘텐츠를 모니터, 프린터, 기타 출력 장치에 전달하는 기능을 제공한다. 16비트 윈도우의 경우 gdi.exe에, 사용자 모드에서의 32비트 윈도우의 경우 gdi32.dll에 상주한다.KERNEL32.dll –import dll로 부팅 시 로드되어 모든 프로그램에 사용되며, 커널이 어플리케이션에게 제공할 수 있는 서비스들이 함수 형태로 들어있다. 프로세스, 스레드, 메모리 관리를 한다.
* SHELL32.dll - DLL파일이 메모리에 항상 올라오게 하고 윈도우가 종료될 때까지 타 프로그램의 간섭을 받지 않도록 한다.
* USER32.dll - USER32.DLL은 윈도우 USER 구성 요소를 구현한다. 윈도우 구성 요소는 창이나 메뉴 같은 윈도우 사용자 인터페이스의 표준 요소들을 생성하고 다룬다. 그러므로 프로그램들에게 그래픽 사용자 인터페이스(GUI)를 구현할 수 있게 해준다.

참고 자료

없음