간디의 세상

분석 환경OS: Windows 7한컴오피스 한글 2014   파일 정보MD5: f2e936ff1977d123809d167a2a51cdebSHA256: 5d9e5c7b1b71af3c5f058f8521d383dbee88c99ebe8d509ebc8aeb52d4b6267bType: Hangul Word Processor document (hwp)Size: 47.5KB (48,640 Bytes)   기초 정적 분석VirusTotal에서 hwp파일을 업로드해 기초 정적 분석을 진행할 수 있다. MS 오피스의 매크로 기능과 유사하게 한글에서도 OLE 개체를 삽입할 수 있다.한글 2018 아래 버전의 경우 OLE 개체를 악용하여 피해를 발생시킬 수 있다.북한 등에서 우리나라 외교 및 안보 공직자나 대북관련 종사자들을 ..

Lab 3-1Lab03-01.exe 추억의 딸깍 소리 들어가며 윈도우 7 감성에 젖어가며 툴들 다 깔고 스냅샷까지 찍어놓고 문제 풀기 시작했는데윈7에서는 주어진 exe 파일이 0xc0000018 오류로 안 열린다..  윈7 이미지 파일 구하고 다운하는 것도 엄청 오래 걸렸고 툴 전부 설치하고 오류 해결하는 데에 하루 걸렸는데 너무하다..결국 윈XP로 다시 처음부터 시작해야 했다.. Questions1. What are this malware’s imports and strings?Dependency Walker에서는 ExitProcess 함수만 확인할 수 있다.애초에 패킹되어 있어서 그런가보다..동적 분석을 통해서 분석하라는 의도인 것 같다.Strings 확인할 수 있다.그냥 봐도 수상한 것들이 많이 보..

보호되어 있는 글입니다.

Lab 1-4Lab01-04.exe Questions1. Upload the Lab01-04.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?이젠 VirusTotal에 안 걸리는게 이상할 정도다.이번에도 61개로 꽤 많이 걸린다..   2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.Hell YeahLab 1-3 에서는 fsg 패킹 푸느라 시간 엄청 썼는데 이번 문제는 패킹이 안 되..

Lab 1-3Lab01-03.exe strings, imports 이런 거 다 IDA 한곳에서 쉽게 찾을 수 있는데 프로그램 여러 개 띄워놓고 분석하는게 간지니까 이렇게 하겠다. Questions1.  Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it matchany existing antivirus definitions?당연하게도 걸린다.이전 Lab 1-1이나 Lab 1-2에서 준 바이너리보다 더 많이 걸리는 것 같다.    2. Are there any indications that this file is packed or obfuscated? If so,what are these indicators? If the file is ..

Lab 1-2Lab01-02.exe Questions1. Upload the Lab01-02.exe file to http://www.VirusTotal.com/. Does it matchany existing antivirus definitions?VirusTotal에 당연히 걸린다.   2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.PEiD에서 UPX로 패킹되어 있는 것을 확인할 수 있다.일반 탐색으로는 Nothing Found로 나오지만, 하드코어 탐색을 할 경우 UPX로 패킹되었음을..

Lab 1-1Lab01-01.exeLab01-01.dll Questions1. Upload the files to http://www.VirusTotal.com/ and view the reports. Does either file match any existing antivirus signatures?두 파일 모두 VirusTotal에서 걸린다.    2. When were these files compiled?VirusTotal에서 확인해보면 Lab01-01.exe와 Lab01-01.dll 두 파일 모두 2010년 12월 19일 16시 16분에 컴파일되었다.PEview에서도 확인할 수 있다. HxD에서도 PE 헤더 부분을 확인할 수 있는데 각각 16진수로 변환하면 0x4D0E2FD3, 0x4D0E2F..