Skip to content

gyry012/malware-analysis

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

4 Commits
project/inputs
project/inputs
 
 
samples
samples
 
 
.gitignore
.gitignore
 
 
README.md
README.md
 
 

Repository files navigation

목표

  • Process Monitor로 동적 분석 수행
  • 파일/레지스트리/네트워크 활동 관찰
  • IOC 20개 추출
  • v0.1 스키마 준수해서 JSON 작성

환경

항목 내용
OS Windows 11
경로 D:\25winter_malware_study
도구 Process Monitor 3.95
샘플 study_sample.exe

분석 과정

1. 샘플 준비

C 프로그램 작성 및 컴파일

기능:

  • 파일 생성 (D:\25winter_malware_study\Temp)
  • 레지스트리 수정 (HKCU\Software\StudySample)
  • 네트워크 연결 (httpbin.org)

컴파일:

cl study_sample.c

2. 동적 분석

Process Monitor 필터 설정 후 샘플 실행

필터: Process Name is study_sample.exe

실행:

.\study_sample.exe

PID: 19836

2-1. 파일 활동

샘플이 D:\25winter_malware_study\Temp 폴더에 파일 2개와 폴더 1개를 생성했습니다.

파일 생성 파일 생성 파일 생성

생성된 파일:

  • study_output.txt
  • study_log.txt
  • study_dir/

2-2. 레지스트리 활동

HKCU\Software\StudySample 키를 생성하고 값 3개를 설정했습니다.

레지스트리

생성된 키:

HKCU\Software\StudySample\
├── TestKey = "test_value_d_drive"
├── Version = "1.0"
└── Location = "D:\25winter_malware_study"

평가: 사용자 영역만 수정, 자동 실행 키 없음

2-3. 네트워크 활동

httpbin.org:80으로 TCP 연결 후 HTTP GET 요청을 보냈습니다.

네트워크

연결 정보:

  • 도메인: httpbin.org
  • IP: 54.236.246.173
  • 전송: 81 bytes
  • 수신: 230 bytes

평가: httpbin.org는 공개 테스트 API라서 악성 C2 아님

3. IOC 추출

Process Monitor CSV 로그 분석해서 IOC 20개 추출했습니다.

분류별 개수:

  • 파일 경로: 5개
  • 레지스트리: 5개
  • 네트워크: 5개
  • 문자열: 3개
  • 프로세스: 2개

주요 IOC:

  • httpbin.org
  • 54.236.246.173
  • D:\25winter_malware_study\Temp\study_output.txt
  • HKCU\Software\StudySample
  • PID:19836

분석 결과

정적 분석

PE 정보:

  • Sections: .text, .data, .rdata
  • Imports: kernel32.dll, advapi32.dll, wininet.dll
  • Entropy: 3.18 ~ 6.42 (정상)

문자열:

동적 분석 요약

타임라인:

17:02:00  샘플 시작 (PID: 19836)
17:02:00  파일 생성 (study_output.txt, study_log.txt)
17:02:01  레지스트리 수정 (HKCU\Software\StudySample)
17:02:02  네트워크 연결 (httpbin.org:80)
17:02:18  프로세스 종료

행위:

  • 파일 생성 → 제한된 경로만
  • 레지스트리 → HKCU만
  • 네트워크 → 테스트 API

결론

판정: Benign (정상)
위험도: LOW
신뢰도: HIGH

이유:

  1. 파일 활동이 D:\25winter_malware_study\Temp에 제한됨
  2. 레지스트리가 HKCU\Software\StudySample만 수정
  3. httpbin.org는 공개 테스트 서비스
  4. 직접 작성한 학습용 프로그램

권고사항:

  • 분석 끝나면 Temp 폴더 정리
  • 레지스트리 키 삭제 (regedit)

폴더 구조

D:\25winter_malware_study\
├── samples/            # 분석 샘플
│   ├── study_sample.exe
│   └── study_sample.c
├── project/            # 과제 제출물
│   ├── inputs/
│   ├── templates/
│   └── render_out/
├── tools/              # Process Monitor
├── logs/               # procmon.csv
├── Temp/               # 샘플이 생성한 파일들
├── docs/
│   └── images/         # README 이미지
│       ├── file_create.png
│       ├── registry.png
│       └── network.png
└── README.md

About

No description, website, or topics provided.

Resources

Readme
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published