CUCKOO 세팅 완료

---

dev C++ 설치

파일 > 새로 만들기 > 프로젝트 > Console Application , C , P1 > D:\2025_Malware\P1에 저장
main.c > 컴파일, 실행

main 함수만 포함되어 있는 기본 틀만 컴파일하여 저장.
P1과 P2 비교.

P1.exe
PE Compile Time : 2025-02-23 19:30:39
PE Imphash : 4144b4faf65604a977e926d2625581c7

P2.exe
PE Compile Time : 2025-02-23 21:20:37
PE Imphash : 4144b4faf65604a977e926d2625581c7

Imphash 값이 동일하다.
다른 파일인데 Imphash 값이 같은 이유가 내용이 동일해서인지 확인하기 위해 P2를 수정한 후 다시 분석을 해보니 여전히 동일한 Imphash값을 가지고 있는 것을 확인할 수 있다.

그렇다면 Imphash값이 동일한 이유는 무엇일까?
이유는 헤더가 같기 때문이다.

#include
#include

----

P2를 소켓 프로그램으로 수정한 후 다시 분석해보자.

PE Implash : 384cd68ae51794306e1cad203cc90802

---

칼리에서 제작한 악성코드 분석

악성코드를 이용해서 칼리와 붙여보기.

방화벽 해제
> sudo iptables -A FORWARD -o ens33 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
> sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
> sudo iptables -A POSTROUTING -t nat -j MASQUERADE

> echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
> sudo sysctl -w net.ipv4.ip_forward=1

​ > sudo apt install iptables-persistent -y
> sudo netfilter-persistent save
> sudo netfilter-persistent reload

윈도우 7에 악성코드 옮겨 칼리와 연결.
해당 악성코드를 쿠쿠로 분석해보면 연결 흔적이 남는다.