annyoung

윈도우 악성코드 분석 방법 본문

분석생활

윈도우 악성코드 분석 방법

nopsled 2014. 8. 30. 00:18

분석 방법이라기 보다는 악성코드들의 특징을 나타내 본 것이다.


1. IsDebuggerPresent로 디버거를 사용하여 디버깅하고 있는지 체크함.

2. CreateThread, CreateRemoteThread를 이용하여 쓰레드를 이용하여 함수를 실행함.

3. CreateToolhelp32Snapshot/ OpenProcess를 사용하여 프로세스를 Open한 후 VirtualAlloc을 이용하여 프로세스의 메모리를 할당해줌. 그 후 WriteProcessMemory를 이용하여 바이너리를 메모리에 올림.

4. LoadLibraryA와 FindResource를 이용하여 resource 영역에서 data를 호출하고 (대부분)복호화 후 사용.



어제 분석하다가 본건 GetCurrentProcess 혹은 GetNetworkInfo를 사용하여 vmware나 추가 문자열이 해당되면 실행되지 않게끔 되어있음.

'분석생활' 카테고리의 다른 글

스미싱 서버  (0) 2014.10.14
리눅스 악성코드 분석방법  (2) 2014.09.11
dex2jar 안드로이드 디컴파일  (0) 2014.03.31
CK VIP Exploit Analysis.pdf  (4) 2014.03.28
CK VIP Exploit sample  (42) 2014.03.27
Comments