[악성코드]BlackEnergy2(_bot.exe) #1 첫번째 프로세스 분석 [쿠쿠 분석결과] 요즘 모 교육을 받고 있는데 샘플 상세분석은 안하더라구요.ㅠ 궁금하기도 하고 해서 한번 상세 분석을 진행해 보았습니다... [그림.1] 그림.1을 보면 알수 없는 문자열이 스택에 저장되는 것을 볼 수있습니다. 악성코드 제작자가 분석을 방해하거나 백신우회? 를하기위해 저렇게 알 수 없는 문자열로 저장해놓고 0x15117430 .data section에 디코딩을 합니다. 디코딩을 하면 URL이 나오는데 이 정보를 숨기고 싶었나봅니다. [그림.2] .bdata section 입니다. 이 데이터의 아스키 코드값을 메모리의 offset으로 사용합니다. [그림.3] 그리고 .data section의 데이터입니다. 그림.2에서 Memory + Ascii offset 한 위치의 값을 .data sec.. 더보기 volatility를 이용한 blackenergy2 샘플 분석 요즘 악성코드 분석을 하면서 흥미로운 분야를 발견했습니다. 바로 포렌식에서 메모리분석 기법인데요 툴자체가 굉장하네요 정말 후덜덜 합니다. 그만큼 강력하단 얘기죠 ㅎㅎ 대략 이툴의 기능들을 소개하자면 현재 프로세스 생성소멸 정보, 레지스트리정보, 후킹탐지기능, 네트워크 연결정보, MFT정보, 실행파일 덤프기능, 그리고 디버거와같은 디버거기능 등의 강력한 플러그인들이 존재합니다. 이 도구는 명령어 기능이 잘되있기 때문에 명령어를 사용하는데 있어서 외우거나 어려움을 느낄필요가 전혀~ 없습니다. volatility -h 하면 이 도구의 사용법에대해 친절히 알려줍니다. 또는 volatility -f [메모리덤프경로] [사용할 명령어] -h 할 경우 사용하는 명령어에대한 Help기능을 제공합니다. 그렇기 떄문에 전.. 더보기 윈도우의 기본 프로세스 윈도의 기본 프로세스 ⊙ 사용자가 강제로 종료할 수 있는 시스템 프로세스 Explorer.exe - 윈도의 기본 쉘 입니다. 윈도의 대부분의 명령 처리를 관리 합니다. 예를 들어 사용자가 아이콘을 클릭하면 Explorer.exe 가 받아서 해당 명령을 수행합니다. 꼭 필요한 프로세 스이지만, 프로세스 강제 종료가 가능하고, 일반적으로 강제 종료 후 다시 실행 되지만 실행되지 않을 경우 작업관리자의 파일->새작업 에다가 Explorer.exe 를 입력하시면 다시 실행이 가능합니다. Internat.exe - 사용자의 키보드 입력 로케일을 로드 하는 프로세스 입니다. 트레이에 보면, 현재 입력 상태를 표시할수 있는 아이콘이 있는데 (EN 혹은 KO 라고 적힌 파란색 아이콘(숨 겨져 있는 경우도 있음)) 이 .. 더보기 이전 1 2 3 4 5 6 ··· 20 다음
