악성코드 기초 정적분석 ( File packed FSG )

[ 악성코드 기초 정적분석 ]

1> 실행파일의 해시값을 이용해서 검색할 수 있다 ( www.virustotal.com )

2> 실행파일의 패킹 여부 확인 ( PEiD )

해당 파일은 FSG 패킹되어있다

패킹으로 인해 실행파일의 IAT를 확인할 수 없어 어떤 일을 하는 파일인지 알 수가 없다

다만, 0x3000크기의 가상메모리에 데이터를 입력할 것은 알 수 있다

3> 수동 언패킹 ( FSG Packing 특징 : 세번의 JMP구문 반복 )

JNZ, JE, JNZ 이후 JE구문에서 원본코드가 존재하는 주소로 이동한다  ( 다른 파일들은 세번의 점프구문에서 원본코드의 코드로 이동하기도 한다 )

OEP(Original Entry Point) 0x00401090부터 덤프하여 덤프파일을 생성한다

Import REC를 활용해 IAT를 복구한다

언패킹 결과

   

정상적으로 언패킹 되었다

4> 실행파일의 IAT를 보고 사용하는 프로세스 확인

언패킹을 제대로 수행하여서 실행파일에서 사용하는 프로세스들을 확인할 수 있다

GetProcAddress

해당 DLL에 있는 내보낸 함수의 주소를 가져온다

5> 실행파일이 사용하는 문자열 확인 ( strings program )

실행 명령어는 다음과 같고,

실행결과는 다음과 같다

[ 기초분석 결과로써, 생성된 파일들 ]