OutDoorFrog의 리버싱 이야기
nssock2.dll 분석 일기 본문
2018-09-05
악성 코드를 기부 받았는데 드디어 분석하게 되네요!
아마 악성 코드 분석 커리큘럼은 이렇게 될 것 같습니다!
- 악성 코드 보고서 탐독
- 정적 분석
- 행위 분석
- 동적 분석
- 악성코드 구현(좋은 루틴은.. 헤더 파일로 박제합시다!!)
여러분이 처음 보는 악성코드 보고서 분석이라는 단계에 대해서 설명하겠습니다.
이번에 분석하는 악성 코드까지 합하면 3 번째 분석입니다.(이번 악성코드 난이도는 최상 추정)
바이러스토탈에서 악성코드의 해쉬값을 검색해봅시다.
Windows 버전 샘플 해쉬 값
- MD5 : 97363d50a279492fda14cbab53429e75
- SHA-256 : 462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
Linux 버전 샘플 해쉬 값
- MD5 : 71375aa4ad00f0fb209c8f22e0090715
- SHA-256 : d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48
바이러스 토탈사마, 정보를 주시는거데스!!
인제 문서를 탐독하여 모르는 단어를 뽑아봅시다.
- VirtualAlloc(DLL Injection 할 때 메모리 관련 함수라고 썼던 기억이 납니다.)
- 쉘코드(만드는 방법을 몰라요)
- PEB
- Dummy Code(이건 안티 디버깅에 사용되는 거 아닙니까. 저도 한번 맹들어봐야겠습니다.)
- GetProcAddress(라이브러리 로드해서 함수를 불러올 때 썼던 기억이 납니다.)
- API Encoding(어멋.. 이건 반드시 빼먹어야햇..)
- 파이썬(저 그런 언어 안써봤으요...)
- Json 데이터 파싱 (Json 데이터 파싱은 api로 밖에 안 해봤는데)
- 해쉬 함수(단어는 들어봤지 실습도 안해봄)
- RSA(그거 공개키 비공개키 그거 아입니까?)
- 스레드풀(스레드 관련된 단어라 들어봤습니다.)
- AES(이것도 암호화인건가)
- etc...
간추리고 함축해봤는데도 이 정도 입니다.
미리 스탭님에게 감사하다는 말씀을 올립니다.
'공부 > 악성코드' 카테고리의 다른 글
ShadowPad Shellcode 분석 일기 [수정중, 연구중] (2) | 2018.11.05 |
---|---|
win_shadowpad_nssock2.dll 분석(미완성, 수정 중, 분석 중, 공부 중) (1) | 2018.09.12 |
Comments