yon11b

[SK 쉴더스 루키즈] Practical Malware Analysis Lab 07-01 풀이

yon11b — Wed, 3 Jun 2026 02:57:37 +0900

1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속매커니즘)을 보장하는가?

createserviceA로 Malservice를 services에 자동실행되게 등록함으로써 보장한다.
함수 인자 몇 가지만 보고 가자.

lpBinaryPathName
path 쪽에 bp를 건 다음 실행해서 path를 확인해보면,

BinaryPathName = "C:\Documents and Settings\Windows\Desktop\malware_analysis_samples\Practical Malware Analysis Labs\BinaryCollection\Chapter_7L\Lab07_01.exe"

.exe 파일 경로가 제대로 들어간 것을 확인할 수 있다.
이제 이 경로가 services에 등록이 된 것이다. 직접 확인해보면 다음과 같다.

automatic으로 되어 있기 때문에, 재부팅을 할 때마다 저 .exe파일이 실행될 것이다.

dwStartType
dwStartType==2이면 재부팅 시 자동실행이다.

https://learn.microsoft.com/ko-kr/windows/win32/api/winsvc/nf-winsvc-createservicea

2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가?

컴퓨터가 재시작할 때마다 실행하는데 중복 실행하지 않기 위해서.

3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가?

1. 뮤텍스: HGL345

2. 악성파일: Malservice

4. 이 악성코드를 탐지할 때 네트워크 기반으로 좋은 시그니처는 무엇인가?

http://www.malwareanalysisbook.com

정적분석을 통해서 wininet.dll을 사용하고 있음을 알아냈다. 즉, 네트워크 통신이 있다는 것이다.

ida에서 http를 입력하면 외부 url이 검색된다.

두 번 클릭한 다음 ctrl+x를 눌러서 따라가 보자.

url을 InternetOpenUrlA로 실행한다.
근데 그러고 바로 또 jmp 해서 위로 올라가 해당 코드를 반복한다.
즉, 무한 반복하는 것이다. → DoS 공격일 가능성!

5. 이 프로그램의 목적은 무엇인가?

DDoS 공격

6. 이 프로그램은 언제 실행을 종료하는가?

답: 종료를 안 함
InternetOpenUrlA 쪽에서 그래프를 그려보면 startaddress가 있다.

StartAddress란?
스레드가 시작할 함수의 주소를 의미한다.
CreateThread()의 3번째 인자인 lpStartAddress에 들어간다. CreateThread 메인 쓰레드 하나, StartAddress 서브 쓰레드 하나 또 실행 되는 것이므로 멀티 쓰레드라고 할 수 있다.

상위 코드로 가보자.
맨 첫번째 줄에 커서를 두고 ctrl+x를 눌러준다.

이 화면이 나온다. CreateThread를 0x14번 반복한다.

mov esi, 14h> esi에 0x14h 할당
dec esi > esi를 하나씩 감소시키면서 반복문 돎
중간에 보이는 lpStartAddress로 인해 아까 위에서 봤던 StartAddress 함수가 실행되어 URL 무한반복 호출 DoS 공격이 일어나게 되는 것이다.
그 밑에 코드를 보면, FFFF FFFF 만큼 sleep을 한다. 이건 메인 스레드를 무한 sleep 상태로 둔다는 말이다.

즉, 저 위치에서 Sleep 하는 건 메인 스레드이고, 이미 생성된 20개 스레드는 각자 StartAddress 안의 코드를 계속 실행한다.

정리
무한 sleep하는 이유?
⇒ 프로세스 종료 방지+작업 스레드들이 계속 동작하게 유지하기 위해서

치명적인 버그: 타이머 설정부터 무한 sleep까지 흐름 살펴보기

설명

SystemTime 구조체 값 할당
xor edx, edx =⇒ edx = 0
2100년 0월 0일 00:00:00

SystemTime -> FileTime 변환: SystemTimeToFileTime

SystemTimeToFileTime(&SystemTime, &DueTime);

SetWaitableTimer에서 시간을 FILETIME 형식으로 받기 때문에 변환하는 것이다.

SYSTEMTIME
2100-01-01 00:00:00

↓

FILETIME
Windows 내부 시간 형식

Waitable Timer 생성: CreateWaitableTimerA

hTimer = CreateWaitableTimerA(NULL, FALSE, NULL);

이름 없는 Waitable Timer 객체 생성
자동 리셋 타이머
보안 속성 기본값
이 함수의 반환값은 eax에 들어간다. (밑에서 mov esi, eax 로 eax 쓰임)

타이머 설정: 지정된 시간까지 기다리는 용도: SetWaitableTimer

push 0               ; fResume
push 0               ; lpArgToCompletionRoutine
push 0               ; pfnCompletionRoutine
lea edx, [esp+410h+DueTime]
push 0               ; lPeriod
**push edx             ; lpDueTime**
push esi             ; hTimer
call ds:SetWaitableTimer

lPeriod 0 -> 반복 주기 없음
lpDueTime까지 기다림

lpDueTime은 SystemTimeToFileTime의 출력값이다. 따라서 lpDueTime=2100년 0월 0일 00:00:00이 된다.

hHandle(hTimer)가 신호상태가 될 때까지 무한 대기: WaitForSingleObject

push 0FFFFFFFFh      ; dwMilliseconds
push esi             ; hHandle
call ds:WaitForSingleObject

타이머가 신호 상태가 될 때까지 무한 대기(2100년이 되기 전까지는 아무 실행도 안 하고 그냥 잠잠히 대기만 타고 있음)
⇒ 조건이 충족되면 깨어남

++제일 마지막 코드(아까 봤던 부분) - 무한 sleep

만약 2100년이 되었다면, 위의 조건이 충족되어 깨어나고, 다음 코드(지금 여기)를 실행하게 된다.
여기서는 쓰레드를 0x14개(20개) 생성하고 무한 sleep을 걸게 된다.
이 무한 sleep은 탈출 조건도 없어서 진짜 영원히 thread가 돌아가게 된다.

SYSTEMTIME 문서
지금 SystemTime 구조체 값이 2100년 0월 0일 00:00:00으로 할당되어 있다.
그런데 SystemTime 구조체에 대한 msdn 문서를 살펴보면 month값과 day은 1부터 시작한다고 나와있다.

https://learn.microsoft.com/ko-kr/windows/win32/api/minwinbase/ns-minwinbase-systemtime

SystemTime 구조체가 잘못된 날짜를 나타내고 있는 것이다.

SystemTimeToFileTime 문서
SystemTime → FileTime을 변환을 위해 사용되는 SystemTimeToFileTime 함수 문서도 살펴보면, SystemTime이 잘못된 날짜를 나타내면 반환값으로 False 를 전달한다고 나와있다.

https://learn.microsoft.com/ko-kr/windows/win32/api/timezoneapi/nf-timezoneapi-systemtimetofiletime

그런데! 코드를 보면 SystemTimeToFileTime 함수 반환값에 대한 검사(test eax, eax)를 하지 않고 있다.
그래서 잘못된 값이 그대로 SetWaitableTimer로 넘어가게 된다.

SetWaitableTimer 문서

https://learn.microsoft.com/ko-kr/windows/win32/api/synchapi/nf-synchapi-setwaitabletimer

사실 여기서는 잘못된 날짜가 들어왔을 때 어떻게 반응하는지에 대한 내용은 나와있지는 않다.
그럼 그냥 실행을 시켜보자. 어떤 문제가 일어날까?

답부터: CreateThread 부분이 바로 실행이 된다!

SystemTimeToFileTime
SystemTimeToFileTime에서 일단 systemtime → filetime 값이 어떻게 나오는지 보자.

systemtime(0x0012F868)은 2100년 0월 0일 0시 0분 0초로 나오고 (34 08 ==2100년이다.)
filetime(0x0012F878)은 0년 0월 0일 0시 0분 0초로 나온다.
systemtime자체가 잘못된 값이니까 filetime에도 제대로 값이 잘 안 들어간 것이다.

SetWaitableTimer

arg2는 lpDueTime을 나타낸다. 그 주소로 가보면 여전히(당연히) 0년 0월 0일 0시 0분 0초 값이 저장되어 있다.

BOOL SetWaitableTimer(
  [in]           HANDLE              hTimer,
  [in]           const LARGE_INTEGER *lpDueTime,
  [in]           LONG                lPeriod,
  [in, optional] PTIMERAPCROUTINE    pfnCompletionRoutine,
  [in, optional] LPVOID              lpArgToCompletionRoutine,
  [in]           BOOL                fResume
);

그리고 쭉 내려가보면 createThread 밑으로 내려가진다. 즉, createThread가 실행이 된다는 것이다.

JNZ에서 다시 PUSH 0으로 올라와 반복문을 실행한다.

1월 1일로 바꿔서 실행하면?

0월 0일

1월 1일

갑자기 F878값도 바뀌었다. 우리는 이미 이 주소가 pFileTime 주소인걸 위에서 봤다.

pFileTime는 pSystemTime이랑 다르게 1601-01-01 00:00:00 UTC부터 흐른 100나노초 단위 카운터 값을 메모리에 나타낸다. 1601-01-01 부터0x022F716377640000나노초 만큼 흐른 날짜가 언제인지를 계산하는 파이썬 코드는 다음과 같다.

from datetime import datetime, timedelta, timezone

filetime = 0x022F716377640000

epoch = datetime(1601, 1, 1, tzinfo=timezone.utc)
dt = epoch + timedelta(microseconds=filetime // 10)

print(dt.strftime("%Y-%m-%d %H:%M:%S UTC"))

결과: 2100-01-01 00:00:00 UTC

잘 변환되어 들어간 것을 확인할 수 있다.

그리고 계속 내려가서 WaitForSingleObject까지 가면 이 이상으로는 더 내려갈 수가 없다.

2100년이 될 때까지 계속 wait timer가 돌고 있는 것이다.

(이해에 도움을 주신 복습방 스터디 멤버 조**와 김**님 감사합니다^^)

[SK 쉴더스 루키즈] 고급 정적 분석 - IDA로 Practical Malware Analysis Labs 05-01.dll 분석하기

yon11b — Tue, 2 Jun 2026 02:16:19 +0900

IDA 기본 단축키

G           주소 이동
X           참조 찾기
N           이름 변경
;           주석
Space       그래프/텍스트 전환
Tab         의사코드 전환
Shift+F12   문자열
Shift+F5    함수 목록
Esc         뒤로가기
Enter       따라가기

8. \cmd.exe /c를 참조하는 코드 영역에서 어떤 동작이 수행되는가?

strings에서 \\cmd 검색을 해주자

더블 클릭해서 따라간 다음 ctrl+x로 저 문자열을 부르는 곳을 찾으러 간다.

하나밖에 안 나온다. 저거 클릭하자.

cmd.exe랑 command.ex로 분기를 한다. 어떤 조건일 때 분기가 되는지 궁금하다.

myVersionInfo 함수를 두 번 클릭해서 들어간 뒤, 똑같이 ctrl+X를 해주자.

우리는 저 값이 뭔지 궁금한 것이므로, write를 한 제일 첫번째 라인으로 가준다.

myVersoinInfo에는 sub_10003695의 결과(eax)가 들어간다.

sub_10003695로 가보자.

cmp version, 2로 비교를 하고 있다.

GetVersionExA

현재 운영체제 정보를 얻어오는 Windows API

https://learn.microsoft.com/ko-kr/windows/win32/api/winnt/ns-winnt-osversioninfow

내 환경은 XP이므로 cmp 결과가 0이 되고, setz al-> al= 1이 될 것이다.

(setz: 직전에 수행한 연산 결과로 ZF(Zero Flag)가 1이면 1을 저장, 아니면 0을 저장한다.)

AL = (VersionInformation.dwPlatformId == 2);

myVersionInfo

myVersionInfo = (VersionInformation.dwPlatformId == 2);

dwPlatformId가 2인 경우

myVersionInfo = 1;

xp면 cmp myVersionInfo, ebx가 1이 되어서 왼쪽 분기문으로 간다. 그래서 cmd.exe /c를 가져오게 된다.

10. 0x1000FF58에서 서브루틴(함수)으로 수백 라인은 문자열을 비교하기 위한 일련의 memcmp 비교 루틴이다. robotwork와 문자열 비교가 성공적으로 이뤄지면 무슨 일이 일어나는가?

0x1000FF58은 맨 위다. 밑으로 스크롤을 내려가면서 보면 memcmp가 보인다.

robotwork가 있는 곳까지 내려 찾아주자.

두 갈래로 분기하는 것을 볼 수 있다.

결과가 0이면 왼쪽으로 감.

왼쪽으로 가면 네모 친 블록이 보인다.

sub_100052A2 함수를 호출하는 것을 알 수 있다.

sub_100052A2 함수는 뭐하는 녀석일까

sub_100052A2 를 두 번 클릭해서 이동해준 뒤, 그래프를 그려보자.

크게 두 가지 기능을 수행하는 것을 알 수 있다.

1. send

2. Reg(레지스터) 관련

일단 sub_100052A2 함수의 이름을 보기 쉽게 바꿔주자. robotwork 문자열 관련이므로, myRobotwork로 지어주겠다.

우클릭 후 Rename 선택하면 바꿀 수 있음

1. send

뭘 send하는지 보자. sub_100038EE 함수를 보자. 이 함수의 시작 주소는 100038EE이다.

주소 검색은 G

malloc, send, free가 있음을 확인할 수 있다.

socket으로 전달한다.

2. Register 관련

아까 그래프에서 보면 RegOpenKeyExA, RegCloseKey, RegQueryValueExA가 있었다.

RegOpenKeyExA: 레지스트리 키를 연다. (권한 획득)

RegQueryValueExA: 열린 레지스트리 키 안의 값을 읽는다.

RegCloseKey: 열어둔 레지스트리 키를 닫는다. (핸들 반환)

큰 흐름: RegOpenKeyExA -> RegQueryValueExA -> atoi -> RegCloseKey

RegOpenKeyExA

: HKLM\Software\Microsoft\Windows\CurrentVersion 열기

hkey가 80000002h == HKEY_LOCAL_MACHINE

C코드로 바꾸면 다음과 같다.

HKEY hKey;

if (RegOpenKeyExA(
        HKEY_LOCAL_MACHINE,
        "SOFTWARE\\Microsoft\\Windows\\CurrentVersion",
        0,
        KEY_ALL_ACCESS,
        &hKey) == ERROR_SUCCESS)
{
    // 레지스트리 열기 성공
}

RegQueryValueExA

: 레지스트리 열기에 성공하면 이어서 RegQueryValueExA 호출해서 열린 레지스트리 키(HKLM\Software\Microsoft\Windows\CurrentVersion) 안의 값(WorkTime) 읽기

: 읽은 값을 atoi()로 숫자로 변환

c로 나타내기

LONG result;

result = RegQueryValueExA(
    hKey,        // [ebp+hKey]
    "WorkTime", // aWorktime
    NULL,        // lpReserved
    &Type,       // [ebp+Type]
    Data,        // [ebp+Data]
    &cbData      // [ebp+cbData]
);

if (result != ERROR_SUCCESS) {
    goto loc_10005379;
}

그 후 로직들...

1. ebp+var_60c에 worktime 정보를 저장한다.

sprintf(
    var_60C,
    "\r\n\r\n[Robot_WorkTime :] %d\r\n\r\n",
    worktime
);

2. ebp+var_60c(worktime)를 sub_1000038EE의 인자로 전달한다.

sub_100038EE(
    s,
    var_60C,
    strlen(var_60C)
);

정리

registry 다루는 로직에서는 HKLM\Software\Microsoft\Windows\CurrentVersion 레지스트리를 열고 그 안에 있는 worktime을 꺼내서 sub_100038EE로 전달한다.

sub_100038EE에서는 data(worktime)를 send한다.

추론

1. worktime은 악성코드가 레지스트리에 저장해둔 동작 시간 또는 실행 시간 관련 값으로 보인다.

그래서 이 정보를 C2로 추정되는 서버에 전송하는 흐름이라고 예측할 수 있다.

2. 사실 HKLM\Software\Microsoft\Windows\CurrentVersion 안에는 worktime 같은 값이 없다. 따라서 worktime값은 이전에 악성코드가 심어놓은 값 등으로 추론해볼 수 있다.

Q14. 0x10001358에 Sleep 호출이 있다. 해당 코드가 실행되기까지 프로그램은 얼마 동안 대기하는가?

10019020에서 읽은 주소에 0D를 더하고, 숫자로 변환하고, 거기에 0x3e8을 곱한 값 만큼 sleep 을 한다.

10019020 주소로 가면 100192ac를 찾을 수 있다.

100192ac에 가면 [This is CTI]30 문자열을 볼 수 있다.

[에서 시작해서 0xD를 더하면 딱 30 이 나온다.

30을 숫자로 변환하고(atoi), 0x3e8을 곱하면 30000이 된다.

→ 30000ms

→ 30s

[Lena Reversing] 4번-PixtopianBook 체험판 크랙하기

yon11b — Sat, 30 May 2026 23:57:59 +0900

PixtopianBook 프로그램을 크랙하는 문제이다.

풀이

설치 파일을 install해준다.

그리고 username 넣고 만들어준다.

그럼 이런 화면이 나온다.

1. Unregistered version 문자열 삭제/수정

Memory창으로 가서 ctrl+b 눌러서 검색을 해주자.

검색아: PixtopianBook (UNREGISTERED

해당 문자열의 주소를 찾았다. 저 경로로 가서 문자열을 수정해주자.

UNREGISTERED ~~ 부분을다 0으로 채워서 안 보이게 해주자. (수정은 ctrl+e로 가능하다)

변경사항을 copy execute file로 저장해주고 실행해보자.

잘 없어진 것을 확인할 수 있다!!

2. This is an unregistered version of PixtopianBook 메시지 수정

저 메시지도 체험판인게 티나니까 텍스트를 수정해주자.

Memory로 가서

검색하고

이 내용을 바꿔주면 된다.

이렇게 수정해준다.

하고 copy execute file 저장해주고 그 파일을 실행하면….성공적으로 잘 반영이 된 것을 확인할 수 있다!

3. About 정보에 나와있는 unregistered version 문자열 수정

버전을 보면 등록되어있지 않은 버전이라고 나와있다. 이걸 수정해서 정품인 것처럼 보이게 해보자.

이렇게 하면 안 나온다.

UNICODE로 해야 검색된다.

저 주소로 가서 unregistered를 registered로 수정해주자.

그러고 copy exe file save 해주면! 성공!

4. 백엔드 기능도 우회해주자: Add group 여러개 가능하도록

Add group을 해주어서 그룹을 3개까지 만들었다.

그런데 4개부터는 추가가 안된다. 기능은 그대로 체험판 버전이기 때문이다. 이번에는 이걸 우회해보도록 해보자.

ollydbg에서 F9을 눌러서 파일을 실행시키고, 파일에서 group 추가를 눌러 alert 창을 띄운 상태에서 정지를 누른다.

그리고 K를 클릭하여 call stack을 불러온다.

Debug > execute till user code 를 실행해준다.

group이 3 초과면 에러 메시지 (ASCII “Please ~~”) 띄움.

JL말고 JMP로 바꾸면 될듯?

아니면 limited를 3이 아니라 엄청 큰 수로 하면 된다.

그럼 이제 그룹이 4개도 추가가 된다.

5. 필요없는 메시지 안 나오게 하기

사실 찐 정품 프로그램에서는 This is a registered version of PixtopianBook 이라는 메시지가 계속해서 나오지는 않는다.

dump 창에서 저 메시지의 주소를 찾고, ctrl+r을 눌러서 reference(참조)를 찾아 가주자.

reference란? 저 문자열을 부른 주소.

EBP가 0x907이라서 무조건 ASCII “This is a registered” 메시지가 출력된다.

0x907 은 아마 체험판 전용 상수? 같은 느낌인 것 같다.

우리는 그냥 JNZ를 JMP로 수정해주자.

이젠 This is a registered~~ 메시지가 보이지 않고 이전에 한 행동에 대한 메시지만 출력되고 있는 모습을 볼 수 있다.

그리고 이 수정사항을 full_crack.exe 파일로 저장해주면 완벽한 크랙 파일 완성!

[Lena Reversing] 3번-잔소리 제거하기

yon11b — Sat, 30 May 2026 23:49:37 +0900

두 개의 파일이 있다.

RegisterMe.exe 파일 먼저 살펴보겠다.

진짜 시작은 00401000에서부터이다.

실행해보면 다음과 같은 창들이 뜬다. nag(잔소리. 여기서 1번 3번 창)를 없애는 것이 목적인 문제이다.

풀이

CMP EAX, 0의 값은 항상 ZF=1이다.

GetModuleHandleA가 실행되고 반환된 값은 EAX에 할당되기 때문이다.

그래서 그냥 실행하면 JE는 무조건 실행된다.

근데 우리는 x표 친 부분을 실행 시켜서는 안 되고 0x401024로 바로 넘어가야 하는데 그 방법에는 여러가지가 있다.

JE를 JMP로 수정
entry point를 401000이 아니라 401024로 수정

2번 방법으로 해주자

entrypoint가 위치한 주소는 4000E8이다.

dump창으로 가서 이 주소를 24 10 으로 수정해주자.(리틀엔디안)

수정 방법은 ctrl+e를 누르면 된다.

그런데 밑에 error message box가 하나 더 있다. 얘는 따로 jmp 가 없으므로 그냥 다 NOP으로 채워주도록 하자.

여기까지 하고 copy to execute file 을 해주자.

이제 그 파일을 실행하면 두 개의 nags alert 창이 안 뜨고 아래 창만 뜨는 것을 확인할 수 있다.

RegisterMe vs RegisterMe.oops 비교

그냥 RegisterMe.oops을 열어보면 내용이 좀 빠져있는 것을 알 수 있다.

HxD로 정상이랑 비정상(oops)를 비교해가면서 이상한 곳을 수정해주자.

두 파일을 두고 같은 위치에 커서를 두고 F6을 누르면 자동으로 다른 곳을 찾아준다.

이 부분은 size of code 값이 다른 것이다.

정상: 400 / 비정상: 400 400

다 수정하면 이런 창이 뜬다.

그리고 다시 peview로 oops파일을 열어보면 정상적으로 모든 구조가 잘 표시된다.

[SK 쉴더스 루키즈] 윈도우 악성코드 고급 동적 분석: OllyDbg, Lena reversing tutorial01 문제

yon11b — Sat, 30 May 2026 04:06:18 +0900

3가지 공부 거리가 있다.

1. 어셈 플래그 수정해서 성공하는 방법

2. 조건에 맞는 파일 생성하여 해결하는 방법

3. 크랙 만들기

1. 어셈 플래그 수정해서 성공하는 방법

1. 파일 존재 거짓말 치기

CreateFileA는 파일 생성만 하는 게 아니라 파일 open도 하는 함수이다.

둘 중에 뭘 할지는 세번째 인자에서 명시한다.

여기서는 PUSH 3 > OPEN_EXISTING으로, 이미 존재하는 파일 open하기이다.

그런데 Keyfile.dat이라는 파일이 존재하지 않으므로 EAX에 -1(FFFFF FFFFF)이 들어간다.

→ 참고: x86에서는 함수 반환값이 항상 EAX에 들어간다.

CMP 결과가 0이 아니어야 error msg 출력 코드를 건너뛰고 정상 흐름(ReadFile)으로 이동할 수 있다.

지금은 0이라 ZF(Zero Flag)가 1이 되어 있으므로 이걸 0으로 바꿔주자.

Zero flag = 1

Zero flag = 0

2. 파일 Read 내용 확인 거짓말 치기

파일 read 부분

없는 파일을 읽으려고 하니까 당연히 몇 바이트 읽었는지(0x00402173), 읽은 바이트(0x00402111A) 둘 다 아무 내용이 없이 0만 채워져 있는 것을 확인할 수 있다.

pBytesRead 부분(0x00402173)이 0이므로 CMP 402173, 10을 하면 음수가 나와서 JL 조건을 충족해서 error 메시지를 띄우는 곳으로 jmp해버린다.

CMP 402173, 10 결과가 음수라서 SF(Sign Flag)가 1이 되었고, JL은 SF를 보고 조건을 판단하므로, 우리는 SF 값을 1에서 0으로 바꿔주면 된다.

3. 파일 read 내부 실행 중 검증 우회하기

CMP ESI, 8의 결과로 SF=1이 되었다. 여기서도 음수면 error 메시지 출력하는 004010F7로 가버리므로, SF를 0으로 해주어야 한다.

코드 로직에 대해서는 조건파일 생성 풀이에서 좀 더 자세히 다룰 것이다.

그럼 00401008이 실행되고, 그 주소로 가보면

성공 메시지를 볼 수 있다!

개념 이해

JL은 작은지를 비교하는 것
jump if less: 왼쪽값이 오른쪽 값보다 작으면 점프한다는 뜻

signed: +/- 표기
왼쪽값이 오른쪽 값보다 작으면 sign flag가 1

음수: sign flag=1, of=0 / 양수: sf=0 of=0(overflow flag)

지금 그냥 나온 결과가 음수임. 이걸 양수로 만들어주기 위해 sf를 0으로 바꿔준 것임.

JL: 음수여야 점프함.

우린 점프하면 error message 출력하므로 점프하면 안됨.

그러니까 sign=1(음수)를 sign=0(양수)로 바꿔야 함

2. 조건에 맞는 파일 생성하여 해결하는 방법

이번에는 코드에서 어떤 조건으로 keyfile을 통과시키는지, 그 로직을 보고 로직에 맞는 파일을 직접 만들어서 문제를 풀어볼 것이다.

Keyfile.dat이름으로 된 파일을 open 한다.

⇒ 첫번째 조건: Keyfile.dat 파일을 만든다.

0x00402173에는 읽은 파일 바이트 값(길이)이 저장된다.

0x0040211A에는 읽은 파일 내용이 저장된다.

0x402173 위치에 있는 값과 0x10을 비교해서 음수가 나오면 error msg 위치(0x004010F7)로 이동

⇒ 두번째 조건: 파일 바이트는 0x10 이상이어야 한다.

ESI값과 8을 비교해서 음수가 나오면 error msg 위치로 이동

⇒ ESI값이 8이상이어야 한다.

ESI 값은 어떻게 증가시킬까? → AL값이 47h(’G’)여야 ESI가 INC 된다.

⇒ 세번째 조건: 파일 안의 문자열 'G'는 8개 이상이어야 한다.

종합: 길이 16이상 & G 8개 이상 문자열을 갖고 있는 Keyfile.dat 파일을 만들자.

성공!

3. 크랙 만들기

아래 부분들을 다 수정해 준 뒤, 변경된 부분을 파일로 저장하면 한번에 congratz가 나온다.

NOP으로 변경된 모습

추가: 저 로직을 코드로 만들어봐라!

if bytes_read >= 16:
	while (*(sentence+i))
		if *(sentence+i)=='G'
			sen_len++
		i++
	if sen_len >= 8:
		print('congratz')

[SK 쉴더스 루키즈] EMU 8086 실습(신호등, 계산기)

yon11b — Sat, 30 May 2026 03:52:24 +0900

EMU8086이란?

16비트 x86 환경

8086 CPU 에뮬레이터 + 어셈블리 개발 도구

8086 CPU를 가상으로 흉내 내서 어셈블리 코드를 실행해볼 수 있다.

구분	16비트 (8086 )	32비트 (80386+)
범용 레지스터	AX, BX, CX, DX	EAX, EBX, ECX, EDX
포인터 레지스터	SP, BP, SI, DI	ESP, EBP, ESI, EDI
주소 크기	16비트	32비트
최대 메모리	1MB	4GB
실행 모드	Real Mode	Protected Mode
시스템 호출	INT 21h	Windows API, SYSENTER 등
어셈 문법	상대적으로 단순	확장된 명령어 다수

EMU8086: DOS(16비트) 인터럽트 호출 방식 사용

반면에, 32비트 Windows에서는 보통

CALL MessageBoxA
CALL CreateFileA
CALL ExitProcess

처럼 Windows API를 호출한다.

INT 21h 방식 (DOS 인터럽트 호출 방식)

DOS 운영체제에게 기능을 요청하는 방식

MOV AH, 기능번호
INT 21h

예제

입력: DOS야, 키보드 입력 1글자 받아줘.

MOV AH, 01h
INT 21h

출력: DOS야, DL에 있는 문자 출력해줘.

MOV DL, 'A'
MOV AH, 02h
INT 21h

신호등 예제

; controlling external device with 8086 microprocessor.
; realistic test for c:\emu8086\devices\Traffic_Lights.exe

#start=Traffic_Lights.exe#

name "traffic"

; 모든 신호등을 빨간불로 설정
mov ax, all_red
out 4, ax     ; AX 값을 IO포트 4번으로 보내는 명령어
              ; AX에 들어있는 신호등 상태값을 외부 장치로 출력
              

mov si, offset situation  ; si에 situation의 주소를 넣는다.
                          ; si는 현재 출력할 신호등 패턴을 가리키는 포인터 역할


next:
mov ax, [si]
out 4, ax

; 5초 대기 명령어
mov     cx, 4Ch    ; 004C4B40h = 5,000,000
mov     dx, 4B40h  ; 5초를 나타내려면 두 개의 레지스터에 나눠서 표현해야 함.
mov     ah, 86h
int     15h


; 반복문
add si, 2 ; next situation
cmp si, sit_end  ; 마지막까지 갔는지 비교
jb  next         ; 작으면 위(next)로 점프 / 같으면 밑으로 ㄱㄱ  
mov si, offset situation ;  situation 시작 주소로 si 포인터를 되돌림
jmp next                 ; 다시 처음부터 반복


;                        FEDC_BA98_7654_3210
situation        dw      0000_0011_0000_1100b
s1               dw      0000_0110_1001_1010b
s2               dw      0000_1000_0110_0001b
s3               dw      0000_1000_0110_0001b
s4               dw      0000_0100_1101_0011b
sit_end = $


all_red          equ     0000_0010_0100_1001b

신호등 색깔은 이런식으로 나타낸다.

구분	의미
INT	어떤 서비스를 호출할지 결정
AH	그 서비스 안에서 어떤 기능을 사용할지 결정

BIOS 인터럽트	기능
int 10h	화면 출력
int 13h	디스크 읽기/쓰기
int 15h	시스템 서비스(대기 등)
int 16h	키보드 입력

코드	의미
AH=86h	지정 시간만큼 대기
AH=88h	메모리 크기 조회
AH=C0h	시스템 정보 조회

흐름 해석

situation 반복문 돌릴 때 상황이다.

ADD SI, 02h

SI레지스터에 0025 저장

mov ax, [si]

si를 주소로 하는 값을 ax에 저장한다.

=> 그래서 메모리에서 0025주소를 찾아가봤더니 06 9A 라는 값이 있었다. (이 값을 ax에 저장)

out 4, ax

ax에 들어있는 값을 IO포트 4번으로 출력해라

이 값을 바이너리로 변환하면, s1의 situation (0000 0100 1001 1010)이 나온다.

시간 나타내는 부분 해석

원래 BIOS는 시간을

CX:DX

두 개의 레지스터를 붙여서 받는다.

그래서

mov cx, 4Ch
mov dx, 4B40h

를 하면

CX = 004C
DX = 4B40

이 되고,

BIOS는 이를

004C4B40h

라는 하나의 숫자로 본다.

계산기 만들기

목표: 한 자리 숫자 두 개의 덧셈·뺄셈을 수행하는 콘솔 계산기 작성
➢설명
▶사용자로부터 한 자리 숫자 두 개를 입력받는다.
▶연산자를 입력받아 덧셈(+) 또는 뺄셈(-) 중 하나를 선택한다.
▶입력값은 ASCII 코드이므로 '0'(30h) 을 빼서 실제 숫자로 변환
▶결과는 다시 '0' 을 더해 ASCII로 변환 후 출력

; You may customize this and other start-up templates; 
; The location of this template is c:\emu8086\inc\0_com_template.txt

org 100h       

; add your code here
; 첫번째 숫자 입력
MOV ah, 01h
INT 21h             ; 입력결과가 AL에 들어감
MOV bl, al

; 두번째 숫자 입력
MOV ah, 01h
INT 21h
MOV bh, al

; 연산자 입력
MOV ah, 01h
INT 21h
MOV ch, al


; calculate
SUB bl, 30h
SUB bh, 30h

; + 이면 add_cal 함수로 ㄱㄱ / 아니면 sub_cal로 ㄱㄱ
CMP ch, 2bh
JE add_cal
JNZ sub_cal

add_cal:
    ADD bl, bh
    JMP END
    
sub_cal:
    SUB bl, bh
    JMP END

END:    
    ADD bl, 30h  ; 출력할 때는 다시 30h 더해서.
    MOV dl, bl
    MOV ah, 02h
    INT 21h

ret

실행 결과

5 - 3 = 2 / 5+ 3 = 8

5 - 3 = 2 했을 때 상황이다.

BL에 0x32. 즉, 2가 들어있다.

CH에는 0x2D. 즉, - 이 들어있다.

좀 더 깔끔한 GPT 코드

org 100h

; 첫번째 숫자 입력
MOV ah, 01h
INT 21h
MOV bl, al

; 두번째 숫자 입력
MOV ah, 01h
INT 21h
MOV bh, al

; 연산자 입력
MOV ah, 01h
INT 21h
MOV ch, al

; 문자 숫자 -> 실제 숫자
SUB bl, 30h
SUB bh, 30h

; 연산자 비교
CMP ch, '+'
JE add_cal

CMP ch, '-'
JE sub_cal

JMP END

add_cal:
    ADD bl, bh
    JMP PRINT

sub_cal:
    SUB bl, bh
    JMP PRINT

PRINT:
    ADD bl, 30h
    MOV dl, bl
    MOV ah, 02h
    INT 21h

END:
ret

[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-02)

yon11b — Fri, 29 May 2026 03:08:16 +0900

======= 정적 분석 =======

dll 파일이라 실행을 이렇게 해야 한다.

C:\windows\system32\rundll32.exe C:\Lab03-02.dll,installA

[네트워크 통신 dll -PEstudio(libraries)]

ws2_32.dll

네트워크 관련

kernel32.dll

파일 관련

advapi32.dll

레지스트리, 서비스 관련

msvcrt.dll

printf 쓰면 등장. 문자열 관련.

[ServiceMain - PEstudio(exports)]

ServiceMain이 여기서 이상한 얘다.

왜냐?

ServiceMain이란?: Windows Service의 실제 시작 함수(entry 역할)

일반 프로그램은 main(), WinMain() 부터 시작한다. (ServiceMain은 x)

본래 ServiceMain의 역할

서비스 초기화
스레드 생성
네트워크 연결
백그라운드 루프 실행
서비스 상태 등록

같은 작업을 수행한다.

악성코드에서는

부팅 후 자동 실행
백그라운드 상주
SYSTEM 권한으로 실행 가능
사용자 눈에 잘 안 띔

목적으로 ServiceMain을 쓴다.

++windows 서비스는 보통 services.exe → svchost.exe → ServiceMain 호출 이런 흐름으로 동작한다.

[도메인 & quit 명령어 & svchost.exe & INA - strings]

1. 외부 도메인

practicalmalwareanalysis.com

2. quit 명령어

base64인코딩 된 것처럼 보이는 문자열이 있어서 base64 디코딩을 해보았다.

quit 명령어로 나왔다.이 명령어가 있으면 백도어일 가능성이 있다.

⇒ 왜냐하면 일반 프로그램은 "원격 제어용 명령 문자열"을 거의 안 쓰기 때문이다.

추가설명: 백도어는 보통 다음과 같은 자체 프로토콜을 만든다.

명령	의미
connect	C2 연결
cmd	명령 실행
sleep	대기
getfile	파일 다운로드
quit	연결 종료

3. svchost.exe

의심가는 파일 발견: Svchost

svchost.exe는 백그라운드 실행 관련 파일이다.

svchost.exe -k netsvcs 의 의미

→ netsvcs 그룹 서비스(악성 DLL)가 svcst 서비스 그룹에 삽입된다

Windows는 DLL 형태 서비스들을 직접 실행하지 못한다.

그래서 svchost.exe 라는 서비스 실행용 호스트 프로세스 안에 DLL 서비스를 넣어서 실행한다.

구조는 보통 이렇다.

services.exe
    ↓
svchost.exe -k netsvcs
    ↓
서비스 DLL들 로드

4. INA (Intranet Network Awareness), IPRIP, INA 설명

위장 파일로 의심된다. 저런 파일은 없다.

======= 동적 분석 =======

INA를 강제로 시작해준다.

제어판(Control Panel) - Administrative Tools - Service

그럼 procexp에서 lab03-02가 보인다.

[sysanlayzer로 분석]

reg monitor

해당 레지스트리 값이 IPRIP=로 변조되었다는 것을 의미한다.

sniff_hit

웹 요청/응답 볼 수 있음

최종결론

Lab03-02.dll은 DLL 형태의 Windows 서비스형 악성코드이다.

rundll32.exe를 통해 installA 함수가 호출되면, 악성코드는 Service Control Manager와 레지스트리를 조작하여 자신을 서비스로 등록하려고 한다.

서비스명은 IPRIP, 표시 이름은 Intranet Network Awareness로 확인되며, 정상 네트워크 관련 서비스처럼 위장한다.

또한 svchost.exe -k netsvcs 그룹에 포함되어 백그라운드 서비스처럼 실행되도록 설계된 것으로 보인다.

네트워크 측면에서는 practicalmalwareanalysis.com/serve.html로 HTTP 요청을 보내고, cmd, getfile, sleep, quit 같은 명령을 처리할 수 있는 백도어 성격을 가진다.

따라서 이 악성코드는 서비스 등록 기반 지속성 확보, svchost 위장 실행, 외부 C2 통신, 원격 명령 실행 기능을 가진 백도어형 악성코드로 판단된다.

전체 흐름

[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-01)

yon11b — Fri, 29 May 2026 02:50:06 +0900

======== 정적 분석 ========

순서: 정적분석 → 동적분석

[entropy 비정상적 높음]

entropy란?

PE 파일 내부 데이터가 얼마나 “무질서한지” 나타내는 값

entropy가 높다

패킹, 암호화 의심

entropy 가 낮다

일반 코드/문자열일 가능성 높음

entropy 기준

0 ~ 3
→ 매우 규칙적

4 ~ 6
→ 일반적인 코드/데이터

7 이상
→ 압축/암호화/패킹 의심

sections > entropy

.data 영역의 엔트로피가 좀 높긴 하다.

[import table에 함수가 하나뿐!]

imports> 함수가 하나뿐?! (ExitProcess)

왜 import table에 함수가 ExitProcess 하나만 있는가?

-> 다른 API들은 import table에 안 적고 실행 중 직접 찾아서 호출했기 때문이다.

그럼 ExitProcess는 왜 불러오는가? 얘도 나중에 찾아오면 되는 거 아님?

-> GetProcAddress랑 LoadLibrary 을 불러오려면 kernel32.dll이 필요함

→ kernel32.dll을 불러오기 위한 함수 최소한 1개는 필요함.

windows XP 시절에는 ASLR이 없어서 kernel32.dll이 올라온 주소가 항상 고정이었다.

그래서 이 주소를 미리 예측하고 kernel32.dll 이 export하는 다른 함수들(ex: LoadLibrary)을 불러오는 코드를 미리 짤 수가 있었다.

strings를 보면 kernel32.dll 말고도 다른 dll이 있다. 그럼 저 dll 들도 불러와야 하는데 import table에는 없다.

ws2_32.dll 이런 얘들이 이상한 악성 행위를 하기 때문에 이걸 감추려고 일부러 table에는 안 올리고 나중에 동적 실행되게 한 것으로 추정해 볼 수 있다.

ws2_32.dll

역할
- Windows Socket 통신
- TCP/IP 통신 기능 제공
- 소켓 생성 및 네트워크 연결 수행
대표 API
- socket
- connect
- send
- recv
- bind
악성코드에서의 활용
- C2 서버 통신
- 데이터 유출
- 백도어 연결

advapi32.dll

역할
- Windows 고급 시스템 기능 담당
- 레지스트리 및 서비스 관리 기능 제공
- 권한 및 보안 관련 기능 제공
대표 API
- RegOpenKeyEx
- RegSetValueEx > Run 등록
- OpenSCManager
- CreateService
- AdjustTokenPrivileges
악성코드에서의 활용
- 레지스트리 자동실행 등록
- 서비스 생성
- 권한 상승
- 보안 설정 변경

user32.dll

역할
- Windows GUI 및 사용자 입력 처리 담당
- 키보드, 마우스, 창(Window) 제어 기능 제공
- 사용자 인터페이스 관련 기능 수행
대표 API
- MessageBox
- SetWindowsHookEx
- GetAsyncKeyState
- FindWindow
악성코드에서의 활용
- 키로깅
- 사용자 입력 감시
- 화면 조작
- 특정 프로그램 실행 여부 확인

[외부 도메인 접속]

strings에 도메인, HTTP, 상태코드로 추정되는 503, 200, 윈도우 소켓 api인 ws2_32가 보이므로 네트워크 통신 관련 코드가 .exe 파일에 있다는 것을 알 수 있다.

(정적분석이므로 실제로 네트워크 통신이 일어난 것은 아님.)

[의심 레지스트리 분석] > 네트워크, 자동실행

commandv: HTTP 핸들 조작 가능성

CurrentVersion\Run: 자동 실행 등록 위치

Shell.Folders: 사용자 shell folder 조회 가능성

[의심 파일명 분석]

vmx32to64.exe, WinVMX32와 같은 파일명은 윈도우에 존재하지 않는 파일명이다.

공격자가 만든 위장 악성 파일일 가능성이 크다.

[악성 행위 흐름 추정]

사용자가 Lab03-01.exe를 실행한다.
초기 스텁 코드가 실행된다.
필요한 DLL 또는 API를 런타임에 해석한다.
- ws2_32
- advapi32
- ntdll
- user32
- advpack
사용자 AppData 경로를 조회한다.
자기 자신 또는 내장 데이터를 vmx32to64.exe 등의 이름으로 복사한다.
레지스트리에 자동 실행 값을 등록한다.
- CurrentVersion\Run
- Active Setup\Installed Components
- StubPath
HTTP 관련 레지스트리 또는 핸들러를 조회·수정할 수 있다.
www.practicalmalwareanalysis.com 도메인으로 HTTP 기반 통신을 시도한다.
HTTP 응답 코드 200, 503 등을 기준으로 분기 처리할 수 있다.
작업 완료 후 ExitProcess를 호출해 종료한다.

======= 동적 분석 ========

동적 분석 보고서 생성을 위해 GPT에 넘길 자료들

PE studio 결과 파일
regshot 스냅샷 비교 파일
process monitor 파일
process explorer 파일
wireshark로 캡쳐한 파일

각각에서 어떤 정보들을 얻을 수 있는가?

PE studio 결과 파일
- Import API
  - 어떤 Windows API를 사용하는지 확인 가능
- Sections 정보
  - entropy, rwx 권한, 이상한 section 이름 확인 가능
  - 패킹/난독화 여부 판단
- Strings
  - URL, IP, mutex, registry 경로, 파일 경로 등 IOC 확인 가능
- PE Header 정보
  - 컴파일 시간, subsystem, entry point, architecture(x86/x64) 확인 가능
regshot 스냅샷 비교 파일
- 새로 생성된 Registry Key
  - 자동실행 등록 여부 확인 가능
- 수정된 Registry 값
  - 시스템 설정 변경 여부 확인 가능
- 삭제된 Registry 정보
  - 흔적 제거 행위 확인 가능
- Persistence 관련 흔적 ?
  - Run, Services, Winlogon 등 지속성 확보 여부 분석 가능
process monitor 파일
- 파일 생성/삭제/수정 기록
  - 어떤 파일을 건드렸는지 확인 가능
- Registry 접근 기록
  - 어떤 레지스트리를 읽고 수정했는지 확인 가능
- Process/Thread 생성
  - 자식 프로세스 실행 여부 확인 가능
- DLL 로드 정보
  - 어떤 DLL을 사용하는지 확인 가능
process explorer 파일
- 부모-자식 프로세스 관계
  - 어떤 프로세스가 악성코드를 실행했는지 확인 가능
- 로드된 DLL 목록
  - DLL Injection 및 수상한 모듈 확인 가능
- Handles / Mutex 정보
  - 파일, 레지스트리, mutex 사용 여부 확인 가능
    - mutex 정보를 보는 이유
      - 악성코드 충돌 나면 비정상 실행되므로 악성코드에 mutex 쓰는 경우 많음
      - 옛날 악성코드의 경우, mutex 이름에 abc123, HGL345, DarkCometMutex 의 문자열을 돌려썼음. 이 문자열 보고 악성코드인 거 판별 가능.
- Strings / 메모리 정보
  - 메모리 내 URL, 명령어, 경로 등 IOC 확인 가능
wireshark로 캡쳐한 파일
- 통신 대상 IP / Domain
  - C2 서버 및 외부 통신 대상 확인 가능
- 사용 프로토콜
  - HTTP, DNS, SMB, TCP 등 어떤 통신 사용하는지 확인 가능
- 전송 데이터 내용
  - 평문 데이터, 다운로드 URL, 명령어 확인 가능
- 패킷 흐름 및 타이밍
  - beaconing, 주기적 통신, 데이터 유출 여부 분석 가능

[레지스트리 확인: regshot > vmx32to64]

레지스트리 경로에 이상한 파일들이 올라왔는지 확인해보자.

Currentversion\\Run\\VideoDriver 경로에 어떤 파일이 올라온 것을 확인할 수 있다.

디코딩하여 확인해보니, vmx32to64였다. 이 파일은 (정적분석에서도) self copy되어서 currentversion\Run에 등록될 것으로 예상했던 악성 파일이었다.

[외부 서버 도메인의 ip 얻기- wireshark]

03-01.exe 파일을 실행시키고 캡쳐를 하니 www.practicalmalwareanalysis.com으로 접속하는 패킷이 잡혔다.

해당 도메인의 ip도 얻었다.

[self copy 확인 & Run 등록 & 윈도우 통신 - procmon]

[번외] prefetch file: 이전에 한번 실행되었던 파일이라는 것을 알 수 있음. 포렌식에서 많이 쓰임]

C:\Windows\Prefetch

프로그램 실행
↓
Windows가 실행 정보 기록
↓
C:\\Windows\\Prefetch 에 .pf 생성

.pf 파일 안에는 "이 exe 실행 시 어떤 DLL/파일을 읽었는지” 에 대한 정보가 기록된다.

WinPrefetchView 도구로 Chrome.exe.pf을 살펴봤다.

ws2_32.dll, msvcrt.dll, kernel32.dll 등 익숙한 dll들이 보인다.

1. writefile

실제로 쓰기를 한 흔적

ReadFile에서 읽은 7168byte를 그대로 WriteFile로 심어놓았기 때문에 자기 자신을 심어놓은 self copy임을 알 수 있다.

저 7168byte의 파일은 Lab03-01.exe 파일이다.

분석 보고서 일부

실제로 저 경로에 들어가서 봤더니 잘 생성(복제)가 된 것을 확인할 수 있었다.

2. RegSetValue도 중요! > Currentversion\Run 등록

3. ws2_32.dll

여기는 윈도우 통신에 관한 라이브러리를 불러옴

4. aws 서비스 이용

[mutex 확인 - procexp]

mutex 이름: WinVMX32

실습 3-1 정리

➢1. 이 악성코드의 임포트 함수에서 발견되는 주요 문자열은 무엇인가?

exitProcess

➢2. 감염을 식별할 수 있는 호스트 기반 지표(IOC)는 무엇인가?

VMx32to64

➢3. 이 악성코드를 식별할 수 있는 네트워크 기반 시그니처가 존재하는가? 있다면 무엇인가?

www.practicalmalwareanalysis.com

[SK 쉴더스 루키즈] 기초 동적 분석 도구 (procmon, procexp, regshot, SysAnalyzer)

yon11b — Fri, 29 May 2026 02:38:38 +0900

동적 분석 환경 구성

가상 머신, 스냅샷 기반
- 감염 후 즉시 롤백이 가능하도록
실제 인터넷과 분리, INetSim 등으로 가짜 서비스 제공
- malware 분석용 “가짜 인터넷” 서버
- INetSim: 분석 환경에서 인터넷 서비스르 흉내내는 가짜 서버

동적 분석 도구

1. procmon

실시간 시스템 활동 추적하는 도구

파일 시스템, 레지스트리, 프로세스/스레드, 네트워크 이벤트를 한 화면에 나타낸다.

필터링

필터를 걸어서 프로세스 이름에 notepad 문자열을 포함하는 것들을 보고자 한다.

잘 필터링 되었다.

검색

Stack

Properties > Stack

2. Process Explorer (procexp)

프로세스 트리, 핸들, DLL, 서명, VirusTotal 평판 확인 가능

비정상 부모-자식 관계, 미서명, 디스크 경로 없는 프로세스가 발견되면 의심!!!

notepad.exe

peview.exe

virustotal

나는 win XP환경에서 해서 internet explorer가 막혀있어서 안되는 거 같긴한데 정상적으로 실행되는 모습을 보고 싶다면 다음의 블로그를 참고하면 된다. [링크]

검색

3. regshot

(악성코드) 실행 전후의 레지스트리 및 파일 시스템의 변경 사항을 스냅샷을 찍어 비교 해주는 도구

shot 누르고 여러 행동하고 2 shot 누르고 또 다른 행동하면 이 두 개 행동을 비교해서 알려준다.

비교 결과 파일

4. SysAnalyzer

실행 전, 후 시스템 상태를 자동으로 비교해 보고서를 생성하는 올라운더 동적 분석 도구

4가지 도구가 통합된 버전의 도구.

sniffHit
- proxy
ApiLogger
- procmon이랑 비슷
- Win32 API
Directory Watcher
- procmon이랑 비슷
Packet Capture
- pcap 생성

결과 화면

sysanalysis prowatch : 지나간 정보도 보여준다.

reg monitor

필요한 정보만 잘 보여줌. regshot에서는 번잡한 거 다 보여줌.

API Log

단점: 딱 실행한 파일 로그만 보임

-> api hooking 방식이라 그럼.

api hooking이란?

프로그램이 원래 호출하려던 Windows API를 중간에서 가로채서(hook) 다른 코드가 먼저 실행되게 만드는 기술

흐름은 보통 이렇다.

원래 프로그램
↓
CreateFile()
↓
kernel32.dll 호출

근데 Hooking 하면:

원래 프로그램
↓
Hook 함수
↓
(로그 남김 / 차단 / 조작)
↓
진짜 CreateFile()

즉 API 호출 흐름 사이에 끼어드는 것이다.

sniff_hit

웹 요청/응답 볼 수 있음

[SK 쉴더스 루키즈] 기초정적분석으로 악성행위 예측하기 (Practical Malware Analysis LAB 01)

yon11b — Thu, 28 May 2026 03:23:10 +0900

이 실습은 Practical Malware Analysis 책에 있는 예제를 정리한 블로그입니다.

Lab01-01 문제: Lab01-01.exe, Lab01-01.dll

1. VirusTotal에 파일을 업로드한 보고서에서 기존 안티바이러스 시그니처와 일치하는 결과가 있는가?

40/71
56/71

2. 이 파일은 언제 컴파일되었는가?

2010/12/19 Sun 16:16:19 UTC
2010/12/19 Sun 16:16:38 UTC

3. 이 파일에 패킹이나 난독화 징후가 있는가? 있다면 무엇으로 판단했는가?

이름이 이상? x
rwx 권한? x
virtual size랑 raw size가 다르냐? x

4. 임포트로부터 악성코드의 행위를 추정할 수 있는가? 가능하다면 어떤 임포트에서 단서를 얻었는가?

1번째 EXE 파일 IAT

함수	역할
CloseHandle	열린 핸들(파일, 프로세스 등) 닫기
UnmapViewOfFile	메모리에 매핑한 파일 해제
IsBadReadPtr	읽기 가능한 메모리 주소인지 검사
MapViewOfFile	파일을 메모리에 매핑
CreateFileMappingA	파일 매핑 객체 생성
CreateFileA	파일 생성/열기
FindClose	파일 탐색 핸들 종료
FindNextFileA	다음 파일 탐색
FindFirstFileA	파일 탐색 시작
CopyFileA	파일 복사

2번째 DLL 파일 IAT

DLL	함수	역할
KERNEL32.dll	Sleep	일정 시간 대기
KERNEL32.dll	CreateProcessA	새 프로세스 실행
KERNEL32.dll	CreateMutexA	Mutex 생성
KERNEL32.dll	OpenMutexA	기존 Mutex 열기
KERNEL32.dll	CloseHandle	핸들 종료

5. 감염 시스템에서 식별 가능한 호스트 기반 증거(파일·레지스트리 등)는 무엇인가?

6. 감염 시스템에서 이 악성코드를 식별하는 데 사용할 수 있는 네트워크 기반 증거는 무엇인가?

문자열: strings 도구 결과

strings.exe Lab01-01.exe > Lab01-01.exe.txt
strings.exe Lab01-01.dll > Lab01-01.dll.txt

strings로 .exe 파일에 있는 문자열들을 .txt로 추출한다.

.exe.txt

.dll.txt

7. 이 파일의 목적은 무엇으로 판단되는가?

원격 제어가 가능한 전형적인 백도어, 드로퍼이다.

Lab01-01.exe가 실행되면 시스템 내부 감시를 우회하기 위해 정상 kernel32.dll과 유사한 이름의 kerne132.dll을 생성 및 매핑하여 시스템에 정착한다.

이후 함께 드롭된 Lab01-01.dll을 통해 하드코딩된 C2 서버(127.26.152.13)로 연결을 시도하며, 공격자의 원격 명령(exec)을 받아 감염된 시스템에서 추가적인 악성 프로세스를 실행하고 제어권을 탈취하는 구조이다.

Lab01-02 문제

1. VirusTotal에 업로드했을 때 기존 안티바이러스 시그니처와 일치하는 결과가 있는가?

virustotal에 업로드할 때는 winmd5를 사용해서 exe파일을 넣으면 주는 MD5를 복붙하면 된다.

58/71개의 취약점이 있다고 나온다.

2. 이 파일에 패킹이나 난독화 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹해보시오.

이름이 이상? => 이름이 UPX → 패킹되어 있다. -> 언패킹했다.
rwx 권한?=> 정상
virtual size랑 raw size가 다르냐?

언패킹

upx -d Lab01-02.exe

다시 peview로 보면 잘 보인다.

3. 임포트로부터 악성코드의 기능을 추정할 수 있는가? 가능하다면 어떤 임포트에서 단서를 얻었는가?

*임포트 어드레스 테이블

언패킹 하기 전

함수	위험도	가능한 악성 행위
CreateServiceA	매우 높음	악성 서비스를 등록하여 재부팅 후 자동 실행(Persistence)
StartServiceCtrlDispatcherA	높음	서비스 프로세스로 동작. 백그라운드 상주형 악성코드 가능
OpenSCManagerA	높음	서비스 관리자 접근. 서비스 생성/수정/삭제 가능
SystemTimeToFileTime	낮음	시간 변환. 타이머 기반 실행 가능
GetModuleFileNameA	보통	자신의 실행 경로 확인. 자기복사/지속성 설정 가능
CreateWaitableTimerA	보통	특정 시간 후 실행. 지연 실행(Sandbox 우회) 가능
ExitProcess	낮음	프로세스 종료
OpenMutexA	보통	중복 실행 방지. 이미 감염된 시스템 확인 가능
SetWaitableTimer	보통	예약 실행 설정
WaitForSingleObject	보통	특정 이벤트 대기. 스레드 동기화
CreateMutexA	높음	단일 인스턴스 유지. 감염 체크용 Mutex 생성
CreateThread	높음	별도 악성 스레드 실행. 백그라운드 작업 가능
InternetOpenUrlA	매우 높음	특정 URL 접속. 페이로드 다운로드/C2 통신 가능
InternetOpenA	높음	인터넷 세션 생성. HTTP 통신 시작
_XcptFilter	낮음	예외 처리. 크래시 방지/분석 방해 가능
__p__fmode, _controlfp 등 CRT 함수	낮음	일반 런타임 초기화

전형적인 악성코드 패턴

VirtualAlloc
→ 메모리 확보

VirtualProtect
→ 실행 권한 부여

LoadLibrary / GetProcAddress
→ API 숨겨서 호출

InternetOpenA
→ 외부 서버 통신

CreateServiceA
→ 재부팅 후 자동 실행

언패킹 한 후

함수	위험도	가능한 악성 행위
CreateServiceA	매우 높음	악성 서비스를 등록하여 재부팅 후 자동 실행(Persistence)
StartServiceCtrlDispatcherA	높음	서비스 프로세스로 동작. 백그라운드 상주형 악성코드 가능
OpenSCManagerA	높음	서비스 관리자 접근. 서비스 생성/수정/삭제 가능
SystemTimeToFileTime	낮음	시간 변환. 타이머 기반 실행 가능
GetModuleFileNameA	보통	자신의 실행 경로 확인. 자기복사/지속성 설정 가능
CreateWaitableTimerA	보통	특정 시간 후 실행. 지연 실행(Sandbox 우회) 가능
ExitProcess	낮음	프로세스 종료
OpenMutexA	보통	중복 실행 방지. 이미 감염된 시스템 확인 가능
SetWaitableTimer	보통	예약 실행 설정
WaitForSingleObject	보통	특정 이벤트 대기. 스레드 동기화
CreateMutexA	높음	단일 인스턴스 유지. 감염 체크용 Mutex 생성
CreateThread	높음	별도 악성 스레드 실행. 백그라운드 작업 가능
InternetOpenUrlA	매우 높음	특정 URL 접속. 페이로드 다운로드/C2 통신 가능
InternetOpenA	높음	인터넷 세션 생성. HTTP 통신 시작
_XcptFilter	낮음	예외 처리. 크래시 방지/분석 방해 가능
__p__fmode, _controlfp 등 CRT 함수	낮음	일반 런타임 초기화

위험한 조합/함수

1. Windows 서비스 기반 악성코드 가능성

OpenSCManagerA
→ 서비스 관리자 접근

CreateServiceA
→ 악성 서비스 등록

StartServiceCtrlDispatcherA
→ 서비스 형태로 실행

2. CreateMutexA + OpenMutexA 조합: 이미 감염된 PC인지 확인할 때 많이 사용

Mutex 존재 == 이미 실행 중 == 종료

3. CreateWaitableTimerA +SetWaitableTimer

몇 분 뒤 실행
재부팅 후 실행
샌드박스 우회

용도로 사용됨.

4. InternetOpenA + InternetOpenUrlA

파일 다운로드
C2 서버 접속
정보 유출
명령 수신

정리

서비스 등록
+
중복 실행 방지
+
인터넷 통신
+
백그라운드 스레드 실행

4. 감염 시스템에서 이 악성코드를 식별하는 데 어떤 호스트 기반·네트워크 기반 증거를 활용했는가?

strings 도구 활용 결과

전체 흐름

[실행]
↓
UPX 언패킹 코드 실행
↓
Mutex 생성
(CreateMutexA)
↓
이미 실행 중인지 확인
(OpenMutexA)
↓
서비스 관리자 접근
(OpenSCManagerA)
↓
자기 자신을 서비스 등록
(CreateServiceA)
↓
서비스 프로세스로 동작
(StartServiceCtrlDispatcherA)
↓
타이머 생성 -> 알람 생성(동시에 공격하기 위해서 like 디도스 공격)
(CreateWaitableTimerA)
↓
백그라운드 스레드 생성
(CreateThread)
↓
인터넷 연결
(InternetOpenA)
↓
URL 접속
(InternetOpenUrlA)
↓
명령 수신 또는 파일 다운로드
↓
지속 실행

++ PEStudio를 쓰면

의심이 되는 부분은 빨간색으로 표시해준다.

strings도 알아서 정리되어있다.

Lab01-04 문제

1. VirusTotal에 업로드했을 때 기존 안티바이러스 시그니처와 일치하는 결과가 있는가?

63/70 개의 취약점 발견

2. 이 파일에 패킹이나 난독화 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 가능한 경우 언패킹해보시오.

이름 이상 → 정상임
raw size vs virtual size→ 정상임
rwx 권한 → 정상임

3. 이 프로그램은 언제 컴파일되었는가?

2019/08/30 금 22:26:58 UTC

4. 임포트로부터 악성코드의 기능을 추정할 수 있는가? 가능하다면 어떤 임포트에서 단서를 얻었는가?

프로세스 인젝션

OpenProcess → WriteProcessMemory(없어도 유사행위 가능) → CreateRemoteThread

exe 내부 Resource 섹션에 숨겨둔 DLL/악성코드를 꺼내는 패턴

FindResourceA → LoadResource → SizeofResource

권한 상승 또는 SeDebugPrivilege 활성화 패턴

LookupPrivilegeValueA → AdjustTokenPrivileges

보안 프로그램 우회나 SYSTEM 프로세스 접근에 자주 사용

5. 감염 시스템에서 이 악성코드를 식별하는 데 어떤 호스트 기반·네트워크 기반 증거를 활용했는가?

6. 이 파일의 리소스 섹션에는 리소스가 하나 있다. Resource Hacker로 리소스 파일을 점검하고 추출해보시오. 리소스에서 무엇을 알 수 있는가?

원래 rsrc영역에는 아이콘 같은 걸 넣는 영역이다.

resource haceker 로 보면 .exe 내부의 .rsrc 섹션만을 추출해서 보여준다.

근데 우리 파일을 넣어보면 ?

PE 구조가 들어가있다.

이 파일을 저장해준다.

이 파일을 또 pestudio로 열어서 xml 형태로 저장을 해준다. 그리고 아까 원본파일도 pestudio로 열어서 xml 형태로 저장을 해준다.

"그리고 gpt한테 물어본다."

"docx 파일로 줘봐"

줄글 보고서 일부

2-3. 원본 EXE 예상 실행 흐름

사용자가 lab01-04.exe를 실행한다.
악성코드는 .rsrc 영역 내부 리소스를 탐색한다.
FindResourceA, LoadResource, SizeofResource를 이용해 내부 PE를 메모리에 적재한다.
CreateFileA, WriteFile로 내부 실행파일을 디스크에 저장한다.
저장 경로는:

\winup.exe
\system32\wupdmgr.exe

등이 의심된다.

이후 WinExec를 이용해 드롭 파일을 실행한다.

3-3. 드롭 파일 실행 흐름

1. 드롭 파일이 실행된다.

2. LoadLibraryA를 이용해:

psapi.dll
urlmon.dll

등을 동적으로 로드한다.

3. GetProcAddress를 통해 필요한 API 주소를 런타임에 가져온다.

LoadLibraryA("psapi.dll")
↓
GetProcAddress("EnumProcesses")

이는 IAT 노출 최소화 목적이다.

4. OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges로 SeDebugPrivilege 권한을 활성화한다.

즉, 다른 시스템 프로세스 접근 가능 상태 확보 목적이다.

5. EnumProcesses, EnumProcessModules, GetModuleBaseName으로 실행 중인 프로세스를 탐색한다.

6. winlogon.exe 발견 시:

OpenProcess
↓
CreateRemoteThread

를 이용해 프로세스 인젝션을 시도할 가능성이 높다.

7. 마지막으로:

http://www.practicalmalwareanalysis.com/updater.exe

에 접속해 추가 악성 파일을 다운로드할 가능성이 존재한다.