1. 서브루틴 sub_401040이 수행하는 것은 무엇인가?
알고자 하는 0x401040에 들어가보면 "http://www.practicalmalwareanalysis.com"에 위치한 웹 페이지를 다운로드한다.
user-Agent로 internet Explorer 7.5/pma를 사용하는 것을 알 수 있다.
위에 분홍색으로 적힌 코드 구조를 보면
- InternetOpenA : WinlNet라이브러리 사용을 초기화하는데 이용하고 HTTP통신에 사용하는 User-Agent를 설정한다.
- InternetOpenUrlA : 완전한 ftp나 html url이 명시하는 위치로 핸들을 오픈하는데 사용
- InternetReadFile : InternetOpenUrlA가 오픈한 핸들에서 데이터 읽을 떄 사용
- InternetCloseHandle : 파일이 오픈한 핸들을 닫을 떄 사용
페이지 앞부분에서 HTML주석인 <!--문자열을 파싱한다. 3Ch,21h,2Dh,2Dh를 우클릭으로 변환하면 <!--임을 알쑤있다.
2. 서브루틴 sub_401130이 필요로 하는 매개변수는 무엇인가
argv[0]으로 표준 main파라미터
3. 해당함수 sub_401130에서 switch문을 사용하여 할수 있는 기능은 무엇인가
디렉토리 생성, 파일 삭제, 레지스트리 값 설정, sleep 100초 를 할수 있는 기능이 있다.
switch문으로는 주석의 첫번째 문자가 파싱되어 로컬 시스템에서 어떤 행위를 할지 결정한다.
4. 해당 악성 프로그램에 호스트 기반에 대한 지표는 무엇인가
C:\Temp\cc.exe
Software\Microsoft\Windows\CurrentVersion\Run\Malware
5. 해당 악성 프롤그램의 목적
인터넷 연결 활성 여부를 확인하고 연결되지 않으면 에러 메세지를 출력하고 프로그램을 종료한다.
연결된 경우에는 특정 User-Agent를 사용해 웹 페이지 다운을 시도한다.
참고
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wwwkasa&logNo=220323000736
'보안 > 리버싱' 카테고리의 다른 글
| LAB 6-4 실습 (0) | 2021.11.20 |
|---|---|
| [리버싱] DLL Injection, DLL Ejection 코드 (0) | 2021.11.13 |
| [리버싱] 드림핵 rev-basic-8 풀이 (0) | 2021.11.13 |
| [리버싱] 드림핵 rev-basic-7 풀이 (0) | 2021.11.13 |
| IAT, EAT 로딩 과정 (0) | 2021.10.02 |