파밍 악성코드 언패킹

그전에 이어서 포스팅.

   

Pecompact ver.2.7.78a ~ 3.11.00 언패킹이 되고 나서.. 해당 바이너리를 계속 포스팅하겠다.

   

대부분의 악성코드가 VirtualAlloc을 이용해서 10000000에 메모리를 할당하고 거기에 데이터를 써 넣는다.

   

그렇기에 올리디버거 command line에 bp VirtualAlloc을 이용하여 브레이크 포인트를 박아준다.

   

박아줬으면 Alt+B를 눌러서 브레이크포인트가 잘 박혔나 확인.

   

잘 박혔다.

그럼 이제 F9눌러서 쭉 진행한다.

   

10000000에 데이터를 써 넣기 위해서 메모리 할당 해주는 것을 볼 수 있다.

   

쭉 진행하다가 메모리 영역을 보면 10000000이 할당되어 있고

   

10000000영역에 데이터도 정확히 들어간걸 볼 수 있다.

   

덤프뜬다.

   

추가로 계속 진행하다보면 EAX콜하는걸 볼 수 있는데

   

1000804C를 콜한다. 해당 메모리에 올라온 바이너리를 실행하나보다.

   

무튼 떠진 덤프는 이제 아이다에서 모두 볼 수 있다.

   

아이다에서보면 아.. 아름다운 base64… 복호화가 가능해도 분석 참 짜증나게 한다.

   

무튼 덤프 끝.