MAL-LAB Workstation

🔍 PEiD

🔢 HxD

⚙️ Procmon

🦈 Wireshark

🗝️ Regedit

📋 판단

🔍 PEiD

🔢 HxD

⚙️ Procmon

🦈 Wireshark

🗝️ Regedit

File Information

File Nameinvoice_2024.exe

File Size28,672 bytes

Entry Point0047A000

EP SectionUPX1

File Offset00027200

Packer / Compiler Detection

PackerUPX 3.95 [LZMA] → Mark Adler

* Multi-Scan 결과: UPX 외 추가 패킹 없음

Sections

Name VSize VOffset RSize Flags UPX0 00009000 00001000 00000000 E0000060 UPX1 00005000 0000A000 00004E00 E0000060 .rsrc 00001000 0000F000 00000400 C0000040

Import Table (Stub)

KERNEL32.DLL

LoadLibraryA

GetProcAddress

VirtualAlloc

VirtualFree

* 언패킹 후 실제 IAT 확인 필요 (upx -d 실행)

Timestamp (IMAGE_NT_HEADERS)

TimeDateStamp678A1CE4 → Wed Nov 13 03:22:44 2024

Linker Version6.0

Import Table (언패킹 후)

KERNEL32.DLL

CreateFileA

WriteFile, ReadFile, CloseHandle

CreateRemoteThread

VirtualAllocEx

WriteProcessMemory

OpenProcess

WININET.DLL

InternetOpenA

InternetOpenUrlA

InternetReadFile

ADVAPI32.DLL

RegOpenKeyExA

RegSetValueExA

CreateServiceA

HxD — invoice_2024.exe

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F Decoded text

00000000	4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00	MZ..............
00000010	B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00	........@.......
00000020	00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00	................
00000030	00 00 00 00 00 00 00 00 00 00 00 00 D8 00 00 00	............(...)
···	( 0x40 ~ 0xD7 생략 )
000000D8	50 45 00 00 4C 01 03 00 E4 1C 8A 67 00 00 00 00	PE..L......g....
···	( PE Header 생략 )
00027200	55 50 58 31 00 00 00 00 C0 07 00 00 00 10 0A 00	UPX1............
00027210	00 4E 00 00 00 02 00 00 00 00 00 00 00 00 00 00	.N..............

offset 0x0000: MZ 시그니처 (4D 5A) — 유효한 PE 파일
offset 0x00D8: PE 시그니처 (50 45 00 00)
offset 0x00DC: TimeDateStamp = E4 1C 8A 67 → 2024-11-13 03:22:44 UTC
offset 0x27200: UPX1 섹션 시작 — 패킹된 코드 영역

Entropy 분석 (섹션별)

UPX0

0.000

UPX1

7.962

.rsrc

3.341

Filter: Process Name contains "invoice" | "svchost" (PID 4102) 캡처 중 ●

TimeProcessPathOperationDetailResult

항목을 클릭하면 상세 정보가 표시됩니다.

Display filter: ip.addr == 192.168.1.105 패킷 수: 0

No.TimeSourceDestinationProtocolInfo

패킷을 클릭하면 상세 내용이 표시됩니다.

📁 HKEY_CURRENT_USER

📁 Software

📁 Microsoft

📁 Windows

📁 CurrentVersion

📂 Run

📁 Themes

이름종류데이터

(기본값) REG_SZ (값 없음)

OneDrive REG_SZ C:\Program Files\Microsoft OneDrive\OneDrive.exe

⬛ Terminal — analyst@mallab:~/Desktop

Microsoft Windows [Version 10.0.19045.3693]

C:\Users\analyst\Desktop> dir

디렉터리: C:\Users\analyst\Desktop

2024-11-13 11:44 28,672 invoice_2024.exe

1개 파일 28,672 바이트

C:\Users\analyst\Desktop>

🔔 이벤트

00:00:00

케이스 #2024-1113 접수

의심 파일 invoice_2024.exe 분석 요청. 실행하지 말 것.

Analysis Checklist

파일 기본 확인

PE 구조 분석

문자열 추출

언패킹

동적 분석

네트워크 분석

판단 완료

점수

🔰

등급