1 안티바이러스 스캐닝_VIRUSTOTAL
1) VIRUSTOTAL은 악성코드 파일이나 URL을 업로드하여 악성코드를 탐지하는 사이트이다. 파일을 업로드한 결과 70가지의 검색 엔진 중 50가지에서 이를 악성코드로 감지했다는 것을 알려준다. Detection에서 어떤 엔진에서 이 파일을 악성코드로 탐지했는지 파악할 수 있다.
2) Dtails에서는 보다 자세한 내용을 확인할 수 있다.
2 해시 값 검증_WinMD5Free
1) 해시 값은 악성 또는 정상 코드가 가지는 고유한 값으로 해당 파일의 해시 값을 원본파일의 해시 값과 비교하여 파일이 위변조 되었는지 확인할 수 있다. WinMD5Free zip과 exe 파일의 해시 값은 해당 사이트에 나와있다.
2) WinMD5Free에서 Original file의 값에 사이트에 나와있는 exe 파일의 해시 값을 넣고 Select file에 다운로드받아 압축을 푼 WinMD5Free를 다시 넣으면 두 파일의 해시 값이 일치한다. 즉 WinMD5Free은 위변조 되지 않은 것이다.
3 문자열 검색_Strings
1) 문자열 검색 방법은 악성코드에서 특징적으로 사용하는 함수, 문자열을 통해 해당 파일이 악성코드인지 분석해보는 방법이다. Strings는 명령 프롬프트 창에서 사용해야 한다. Strings + 분석하고자 하는 파일명을 입력하면 해당 파일에 대한 정보가 출력된다.
2) 동적 라이브러리, API를 확인할 수 있다.
3) Lab01-01.exe 파일을 분석했다.
4) 동적 라이브러리와 해당 파일에 대한 내용을 볼 수 있다.
4 패킹난독화_PEiD
1) 패킹난독화는 악성코드를 은폐하기 위해 사용된다. PEiD는 패커를 탐지하기 위한 프로그램이다. 명령 프롬프트에서 “upx lap-01-01.exe” 명령을 통해 해당 파일을 패킹한 결과 PEiD에서 EP Section은 UPX1, 하단은 Nothing found * 로 나타나 패킹 된 것을 알 수 있다.
2) 다시 명령 프롬프트에서 “upx -d lap-01-01.exe” 명령을 통해 해당 파일을 언패킹한 결과 결과 PEiD에서 EP Section은 .txt, 하단은 Microsoft Visual C++ 6.0로 나타나 패킹이 풀린 것을 확인할 수 있다.
