이번 챕터부터 실제 악성코드 실행파일을 직접 정적분석해보고 정적분석과 동시에 난독화를 수동으로 푸는 unpacking을 진행해보도록 할께 LAB1-2 exe 파일은 악성코드 파일이고 악성코드 파일을 하나씩 풀어보면서 분석해보자 먼저 peid 와 peview를 통한 pe 분석을 진행해볼께 pe view 분석을 통해서 난독화가 되어 있음을 알 수 있지? +upx0를 보면 virtual size는 data 할당이 되었으나 size of raw data는 0으로 아무것도 없음을 볼 수 있다.
가상 영역의 공간만 할당되었음..!! upx로 난독화 되어 anti-reversing 기법이 들어가있음을 볼 수 있었다..!!
peid 분석도 같이 해볼까?? peid 분석을 해보니 upx로 packing되어 난독화가 되어.....
원문 링크 : LAB1-2 (악성코드분석)
