연습 샘플 분석 - 2

저번 샘플을 이어서 분석했다.

이번에는 동적으로 분석을 진행했다.

 

SysAnalyzer을 이용했다.

 

세팅을 해주고 start를 눌러주어 기다려준다.

실행하기 전 꼭 스냅샷을 찍어주어야 한다.

무슨 일이 일어날지 모른다.

 

실행 후 확인을 하면 샘플 프로그램이 종료되지 않았다.

계속 실행중이다.

 

PID 1248이 USER의 권한을 사용하고 있다.

 

여러 개의 PORT가 생성된 것을 확인할 수 있다.

 

 

레지스트리가 수정되었다.

 

API log를 확인한다.

레지스트리, 통신, 뮤텍스 관련 api들을 확인했다.

 

 

 

패킷을 확인해보면 저번 pestudio를 통해 확인했던 url이 찍혀있다.

해당 url과 통신을 한다는 것을 알 수 있다.

 

마지막으로 뮤텍스 관련 기록들이 존재한다.

HGL345 또한 pestudio에서 식별했던 문자열이다.

HGL345를 제외한 2개는 프로그램 실행 중간에 생겼다.