경찰을 사칭해서, 온라인상에서 불법 행위를 저질렀다는 문구를 보여주고 금전을 요구하는 레베톤(Reveton) 랜섬웨어가 2012년에 등장한다. 이 책에서는 레베톤 랜섬웨어에 대한 정적 분석, 동적 분석, 디버깅 분석을 진행하고, 마지막으로 분석된 내용을 정리한다.

1. 레베톤 랜섬웨어
1.1 개요
1.2 동작 화면
1.3 정적 분석
1.3.1 AV 탐지
1.3.2 패킹 및 난독화 여부
1.3.3 문자열 분석
1.3.5 파일 포맷 분석
1.3.1 IAT 분석
1.4 동적 분석
1.4.1 프로세스 분석
1.4.1.1 ProcWatch
1.4.1.2 자동 분석(쿠쿠 샌드박스)
1.4.1.3 ProcMon
1.4.1.4 Process Explorer
1.4.2 시스템 변화 분석
1.4.2.1 파일 변화
1.4.2.2 레지스트리 변화
1.4.2.3 서비스 변화
1.4.3 네트워크 분석
1.5 디버깅 분석 I
1.6 Thread Injection
1.7 Self Creation & Thread Injection 디버깅
1.7.1 Debugger Attach
1.7.2 자식 프로세스 EP 찾기
1.7.3 패치 복구 및 UPX 언패킹
1.7.4 자식 프로세스 디버깅
1.8 디버깅 분석 II (iTL3RdW4.exe)

2. 분석 정리
2.1 프로세스 분석 정리
2.1.1 0328_reveton.exe_1(원본 악성 파일)
2.1.2 0328_reveton.exe_2(복사 악성 파일)
2.1.3 iTL3RdW4.exe_1
2.1.4 iTL3RdW4.exe_2

참고 문헌