일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 |
Tags
- NUGU
- shell_gpt
- XSS
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- 사진도용
- 채팅환전사기
- CryptoJS
- self-signed
- hash
- speed-measure-webpack-plugin
- md5
- decrypt
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- aes
- 많다..
- Malware Sample
- react
- 변태는
- https
- 스캠
- Craco
- open redirect
- 로맨스스캠
- esbuild
- ssrf
- sha256
- 모의해킹
- encrypt
- 취약점
Archives
- Today
- Total
annyoung
파밍 악성코드 언패킹 본문
그전에 이어서 포스팅.
Pecompact ver.2.7.78a ~ 3.11.00 언패킹이 되고 나서.. 해당 바이너리를 계속 포스팅하겠다.
대부분의 악성코드가 VirtualAlloc을 이용해서 10000000에 메모리를 할당하고 거기에 데이터를 써 넣는다.
그렇기에 올리디버거 command line에 bp VirtualAlloc을 이용하여 브레이크 포인트를 박아준다.
박아줬으면 Alt+B를 눌러서 브레이크포인트가 잘 박혔나 확인.
잘 박혔다.
그럼 이제 F9눌러서 쭉 진행한다.
10000000에 데이터를 써 넣기 위해서 메모리 할당 해주는 것을 볼 수 있다.
쭉 진행하다가 메모리 영역을 보면 10000000이 할당되어 있고
10000000영역에 데이터도 정확히 들어간걸 볼 수 있다.
덤프뜬다.
추가로 계속 진행하다보면 EAX콜하는걸 볼 수 있는데
1000804C를 콜한다. 해당 메모리에 올라온 바이너리를 실행하나보다.
무튼 떠진 덤프는 이제 아이다에서 모두 볼 수 있다.
아이다에서보면 아.. 아름다운 base64… 복호화가 가능해도 분석 참 짜증나게 한다.
무튼 덤프 끝.
'분석생활' 카테고리의 다른 글
Image File Execution Options (0) | 2015.03.20 |
---|---|
VMware 공유 폴더 설정 및 사용하기 (0) | 2015.02.03 |
PEcompact ver.2.78a ~ 3.11.00 Manual unpacking (4) | 2015.01.26 |
지능화된 범죄 (0) | 2015.01.23 |
anti VM bypass - parallels (4) | 2015.01.21 |
Comments