목록전체 글 (12)
study
2024.06.03 악성코드 분석 2일차
case 문이 나올 경우 모든 case를 체크하고 내용 확인. case 문을 활용해 여러 기능을 가진 악성코드를 원격 제어형 악성코드라고 부름. case를 연달아 타고 들어감. 최종적으로 401070에 도착. cmp(compair) 코드로 ebp+8과 76c(1900)이라는 값을 비교함.덤프에서 따라가기 > 주소로 ebp+8값이 무엇을 의미하는지 확인.E8 07(리틀 엔디안이기에 실제 값은 07 E8) 값이 ebp+8값이라는 것을 알게 됨. 07 E8 값은 2024 값이기에 1900과 2024의 상관과 앞에서 GetSystemTime 명령어를 시행함에 따라 시스템 시간에서 년도를 의미하는 것이라고 추측할 수 있음. 이 뒤의 덤프도 2024 06 03 10 값으로 2024년 6월 3일 오후 4시 가량이라..
2024.05.23 동적 분석
- IDA순차표에서 우클릭으로 텍스트 형태 등으로 확인 가능.AB 누르면 C++ 코드 형태로 확인 가능.X 단축키로 호출 역순으로 올라갈 수 있음.더블 클릭으로 호출한 위치 이동 가능. - 디버거RET 명령어에 F8로 들어가고 CTRL+F9로 넘어가기 반복해서 EntryPoint까지 확인함수의 분석 필요성이 있다면 F7로 들어가서 분석, 함수의 분석 필요성이 없다면 F8로 넘어가기.GetModuleFileName과 같이 분석할 필요가 없는 CALL은 넘기면 됨. - ASLR 플래그코드의 주소값이 항상 일정하지 않고 어느정도 랜덤값을 가지고 로드되게 유도.HEX 뷰어에서 140 라인의 40 81 부분을 00 81로 바꾸고 다시 로드하면 ASLR이 지정이 되지 않음.이전에 랜덤으로 주소값을 가져가던 것과..
