malware sample 기초동적분석

이어서 기초동적분석을 진행했다.

xp환경과 다르게 win7에서는 악성코드가 잘 실행되지 않아 제대로 분석을 진행할 수 없었다.

 

sysAnalyzer을 이용했다.

 

 

하나의 프로세스가 진행된다.

svchost.exe의 파일이 실행되는것을 알 수있다.

Service이름은 64to32이다.

 

5408의 pid가 4개의 포트를 열었다.

 

원래는 dll파일이 실행되어야 하는데 win7에서는 dll 프로세스를 죽여버려 확인할수가 없다.

저번에 추출했던 dll이 svchost.exe에 올라와 실행되는 구조이다.

 

레지스트리 변경 사항이 있다.

value값이 64to32이다.

 

 

만들어진 파일을 보면 64to32가 있다.

size가 비교적 큰것을 알수가있다.

service또한 64to32로 등록되어있다.

통신을 위해 pipe에도 데이터가 있어야 하지만 프로세스가 죽어버려

확인할 방법이 없었다.

 

 

다음에는 IDA를 통해 프로세스 로직을 직접 파악하기로 한다.