| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 많다..
- 모의해킹
- 네이버카페
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 허리디스크
- esbuild
- CryptoJS
- open redirect
- 거래사기
- ssrf
- intelmac
- 채팅환전사기
- Sequoia
- 취약점
- react
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- speed-measure-webpack-plugin
- Frida
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- ue4dumper
- self-signed
- 로맨스스캠
- XSS
- 중고나라
- 척추관협착증
- Malware Sample
- 안전결제
- shell_gpt
- NUGU
- 변태는
Archives
- Today
- Total
annyoung
커스텀으로 패킹된 악성코드 메뉴얼 언팩 - OEP를 찾아서 본문
뭐.. 내가 잘하고 있는건지 못하고 있는건지 잘 모르겠다.
전문적인 지식을 가져야지.. 똑같이 따라하는게 아니라 왜 그러는지 이해하며..
1. LoadLibraryA를 통해서 Kernel32.dll을 로드시킨다.
2. GetProcAddress를 이용하여 여러 API를 가져온다.
ex) CloseHandle, ReadFile, CreateFileA, 등..
3. 자기 자신을 읽어와서 바이너리 내부에 있는 암호화된 내용을 복호화 하기 시작.
4. 0x004314EB에서 복호화를 시도.
참조 되는 메모리 영역 주소는 다음의 이미지에서 언급하겠다.
5. 대략.. 0x0041A384에서 부터 복호화가 시작되며 레지스터를보면 복호화가 시작되고 있다는걸 알 수 있다.
쭉 진행..
'분석생활' 카테고리의 다른 글
| 지능화된 범죄 (0) | 2015.01.23 |
|---|---|
| anti VM bypass - parallels (4) | 2015.01.21 |
| Anti VM 기법 (1) | 2014.12.30 |
| Anti-VM bypass | Anti-VM 우회 (0) | 2014.12.30 |
| 네이버카페 악성코드 (0) | 2014.11.11 |
'분석생활' Related Articles
more
Comments