반응형

정보보안/침해사고 대응&분석 3

침해사고 대응 및 분석 - 악성코드 제거

1. 문제파악 눈에 보이는 문제는 보이지 않아 “Proess Explorer” 프로그램을 사용하였다. 결과는 다음과 같았다. “Process Explorer” Tool화면 그림 1‑1을 보면 “C:\WINDOWS\System32” 내부에 있는 “services.exe”가 아닌 단독으로 “services.exe”가 실행되고 있는 것을 확인되었으며 악성 파일로 의심된다. 그림 1‑1 “Process Explorer” 화면 1.1. Kill Process “Process Explorer” Tool화면 그림 1‑2 Kill Process 시도하였으나 에러 메시지와 함께 삭제되지 않았다. 그림 1‑2 Kill Process 시도 1.2. DLL File “Process Explorer” Tool화면 그림 1‑3 ..

리버싱 분석연습 - time.exe

1. time.exe 1.1. 분석 “time.exe” 화면 그림 1‑1 “time.exe” 파일을 실행한 화면이다. 좌측 상당에 보면 원이 그려져 있는 것을 볼 수 있다. 그림 3-1 에서 임의의 KEY 를 입력하면 그림 1-2 에서 보이는 화면과 같이 우측 상단으로 이동하는 것을 확인할 수 있다. 캡쳐화면상으로는 표현하기 힘들지만 처음 좌측 상단에 있던 원은 KEY 를 입력하면 우측상단으로 빠르게 이동하는 것을 볼 수 있다. 그림 1‑3 time.exe 실행화면 그림 1‑4 time.exe 실행 후 KEY 입력 1.1.1. 문자출력 “Ollydbg” 화면 그림 1‑5 “all strings referenced text strings” 기능을 이용하여 문자열 부분만 찾은 결과이다. 00401095 주소..

리버싱 연습 - hint.exe

1. hint.exe 실행 화면 그림 1‑1 어떤 파일인지 확인하기 위해 실행시켜본 결과이다. “피보나치 수열 10까지 구해보시오!!!” 라는 문구와함께 피보나치 수열이 나열되는 것을 볼 수 있다. 피보나치 수열이 계속 나열되는 것으로 보아 “Fibonacci(9) = 34” 까지 10개만 나열하도록 수정해주면 해결될 것으로 보인다. 그림 1‑1 hint.exe 실행 1.1. ollydbg 실행 “OllyDbg” 화면 그림 1‑3 “hint.exe” 파일을 “Ollydbg”로 열어본 결과이다. 일단 그림 1‑2 에서 보면 1. 코드부분 2. 레지스터부분 3. 덤프 부분 4. 스택부분 을 볼 수 있다. 1번 부분을 보면 왼쪽부터 코드주소, 기계어, 어셈블리어, 사용되는 문자열을 확인할 수 있고, 3번을 보..

반응형