* 메모장에서 키보드 입력하려는 것을 후킹하여 메모장에서 키보드 입력이 먹히지 않도록 하는 실습 [ KeyHook Code ]KeyHook.cpp 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667#include "stdio.h"#include "windows.h" #define DEF_PROCESS_NAME "notepad.exe" HINSTANCE g_hInstance = NULL;HHOOK g_hHook = NULL;HWND g_hWnd = NULL; BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWO..

WindowMessageHooking - 키보드나 마우스의 입력을 후킹한다[ Key -> OS -> Application ] => [ Key -> OS -> Hooker -> Application ] KeyLogger 실습CPP타입의 키로거 파일을 비쥬얼베이직으로 Release하여서 실행가능한 파일로 생성해야한다[ Release 순서 ]New Project - Win32 Console Application Console application & Empty project 헤더파일과 소스파일을 구분하여 파일을 옮긴 다음 Release를 실행해야한다" F7 " => Release => 실행가능한 파일로 생성된다 [ KeyLogger Source Code ][1] keys.cpp - 입력내용을 검사하는 함수 등..

[ 기초 정적분석 ] Lab07-03.exe패킹의 흔적은 없고, KERNERL32.dll 과 MSVCRT.dll을 import한다 File과 관련된 메서드들을 사용하고 있다 의심스러운 문자열로는 " kerne132.dll " , " Lab07-03.dll " , " C:\* " 이 확인된다 Lab07-03.dllKERNEL32.dll 과 WS2_32.dll을 임포트하고 있다 WS2_32.dll : 소켓통신과 관련된 dll [ 기초 동적분석 ]Lab07-03.exe를 실행시키고 변경되어지는 시스템들을 확인해보자API에서 특별히 이상한 낌새를 보이는 부분은 보이지 않는다디렉터리에 접근하는 부분도 특별히 이상은 없었다 [ 고급 정적분석 ]Lab07-03.dll 분석OpenMutexA & CreateMutexA..

[ 기초 정적분석 ]1> ExeinfoPE패킹의 흔적은 보이지 않으며, 임포트한 dll을 확인할 수 있었다 2-1> pestudio (1) VariantInit, SysAllocString, SysFreestring함수를 사용하고 있다 2-2> pestudio (2)의심스러운 www.malwareanalysisbook.com/ad.html 주소가 확인되었다 [ 기초 동적분석 ] - SysAnalyzer1> 실행화면악성파일 실행 후 30초동안 이루어지는 시스템의 현상을 살펴보자 2> Open Ports여러개의 포트가 열어짐이 확인된다 3> Directory Watch인터넷을 요청하기 위해 IEUser Directory를 사용함을 확인할 수 있다 4> API Log악성파일이 사용한 함수 흔적들이다 * COM..

고급 정적분석은 IDA Pro를 통해 Lab07_01악성파일을 분석한다 해당 악성파일은 StartServiceCtrlDispatcherA함수 호출 이후 sub_0x00401040주소의 함수를 호출한다 sub_401040은 실질적인 main함수가 된다StartServiceCtrlDispatcherA()connect the main thread of a service process to the service control manager,the thread to be the service control dispatcher thread for the calling process. 0x401040로 이동하자제일 먼저 OpenMutexA함수를 볼 수 있다 OpenMuextA( DA,IH,MutexObject ) -..

이전에 사용하였던 Process Explorer, Regshot, Process Monitor, Wireshark를 하나로 통합한 기능을 하는 SysAnalyzer를 사용한다 SysAnalyzer ① Use SniffHit 네트워크 통신 감시② Start Browser as Inject Target③ Use API Logger사용하는 API함수를 알 수 있다④ Use Directory Watcher접근하는 디렉터리들을 알 수 있다⑤ Full Packet Capture모든 패킷 캡쳐 악성파일을 실행시키기 전에 항상 스냅샷을 찍어둔 다음 실행시킨다"start" 버튼을 누르고 실행결과를 살펴보자 아래 그림들은 SysAnalyzer을 통해 악성코드를 실행시킨 뒤 시스템상에서 발생하는 모든 상황을 보여준다[ Ru..