windbg symbol path srv*.*http://msdl.microsoft.com/download/symbols 더보기 [악성코드]BlackEnergy2(svchost.exe DKOM) #3 세번째 프로세스 분석 [그림.1] 분석전에 SSDT 테이블을 후킹을 하는 악성코드로 판단을 했었는데 다시 상세히 분석하니 이녀석은 SSDT 후킹을 하는 악성코드가 아니었습니다. IceSword툴을 이용해서 SSDT 테이블에서 변경이된 Native Function이 있는지 확인결과 이상이 없었습니다. [그림.2] 그런데 Process를 확인 결과 분명 PID 3720을 사용하고있는 svchost.exe는 태스크매니저 또는 ProcessExplorer로 확인했을때 없었는데 IceSword에서는 실행중인 프로세스로 확인이 되네요. [그림.3] 올리디버거로 그림.3과 같이 0x151139F0와 0x15114D10함수로 진입하여 분석을 시도합니다. 위의 함수들은 Kernel모드로 진입하여 DKOM을 작업하는 함수들입니다. DKOM은 .. 더보기 [악성코드BlackEnergy2(_bot.exe) #2 두번째 프로세스 분석 첫번째 _bot.exe프로세스가 CreateProcess로 자기자신을 자식프로세스로 생성하게 되는데요 그 생성된 프로세스를 분석해 보겠습니다. 우선 이번에도 분석하기전에 분석대상 실행파일에서 대략 코드의 흐름을 보겠습니다. [그림.1] 이번에도 툴을 돌려서 확인하겠습니다.ㅋ 이번 분석대상은 CreateProcess로 호출된 _bot.exe의 자식프로세스 입니다. [그림.2] 분석이 완료되고 Report결과를 보면 함수가 별로 호출이 안되네요. 윗부분 몇줄은 _bot.exe의 부모프로세스와 동일하고 메모리주소 0x1511267F lstrcpy부터 코드가 틀린것을 확인 할 수 있습니다. 지금부터 코드는 _bot.exe가 아닌 _bot.exe의 자식프로세스의 이름을 _bot_petch.exe라고 하겠습니다. .. 더보기 이전 1 2 3 4 5 ··· 20 다음
