annyoung

커스텀으로 패킹된 악성코드 메뉴얼 언팩 - OEP를 찾아서 본문

분석생활

커스텀으로 패킹된 악성코드 메뉴얼 언팩 - OEP를 찾아서

nopsled 2015. 1. 15. 14:11

뭐.. 내가 잘하고 있는건지 못하고 있는건지 잘 모르겠다.


전문적인 지식을 가져야지.. 똑같이 따라하는게 아니라 왜 그러는지 이해하며..




1. LoadLibraryA를 통해서 Kernel32.dll을 로드시킨다.


2. GetProcAddress를 이용하여 여러 API를 가져온다.

ex) CloseHandle, ReadFile, CreateFileA, 등..


3. 자기 자신을 읽어와서 바이너리 내부에 있는 암호화된 내용을 복호화 하기 시작.



4. 0x004314EB에서 복호화를 시도.

참조 되는 메모리 영역 주소는 다음의 이미지에서 언급하겠다.


5. 대략.. 0x0041A384에서 부터 복호화가 시작되며 레지스터를보면 복호화가 시작되고 있다는걸 알 수 있다.



쭉 진행..


'분석생활' 카테고리의 다른 글

지능화된 범죄  (0) 2015.01.23
anti VM bypass - parallels  (4) 2015.01.21
Anti VM 기법  (1) 2014.12.30
Anti-VM bypass | Anti-VM 우회  (0) 2014.12.30
네이버카페 악성코드  (0) 2014.11.11
Comments