Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 한글 악성코드
- Python LoadLibrary
- 파이썬
- PowerShell
- c# 파일 IO
- VMware
- FTP Server/Client
- c# 파일명 변경
- Mouse Over
- c# 디렉토리 파일 조회
- UDP Server/Client
- 파워쉘
- pdf 악성코드
- c# 파일 읽기쓰기
- 최순실 악성코드
- Python Win32 API
- hex2bin
- TCP Socket
- anti vm
- 파이썬 외부프로그램 실행
- Hover Action
- c# 프로그램 종료
- Universal ShellCode
- c# 외부 프로그램 실행
- c# xml 파싱
- Python GetProcAddress
- 악성코드
- vbscript
- PPT Malware
- TCP Server/Client
Archives
- Today
- Total
목록320 (1)
그냥저냥
[Issue, PE Malware] 3.20 악성코드 분석
● 동작 요약 ● 중복실행 방지를 위해 CreateFileMapping/OpenFileMapping API 이용 - 특정 식별자 "JO840112-CRAS8468-11150923-PCI8273V" 를 가진 파일의 존재 여부를 통해 중복 실행 체크 ● 백신 솔루션 존재 여부 확인 - 아래 경로에 특정 파일이 존재하는지 체크하여 백신 솔루션의 설치 여부 확인 - 경로 : C:\Windows\Temp\~v3.log ● 백신 프로세스 강제 종료 - 명령어 #1 : taskkill /F /IM pasvc.exe - 명령어 #2 : taskkill /F /IM clisvc.exe * /F 옵션 : 명시된 프로세스 강제 종료 * /IM 옵션 : 종료할 프로세스의 이미지 이름 명시 ● 운영체제 정보 조회 ● MBR 로..
Malware
2016. 7. 31. 05:39