악성코드 Backdoor.Hacarmy.D 분석-1 웹, 네트워크 분야에 흥미를 가지지 않는 이상 정보보안으로 성공할 순 없다고 생각해서 정보보안이 아니라 제가 가장 하고싶은 악성코드분석으로 블로그 주제를 바꿔야 할것같습니다. 그래서 악성코드 분석 시작합니다.(xp화면 출처 : 나, 함수들 설명 : MSDN) 제가 가지고 있는 Backdoor.Hacarmy.D은 화면보호기파일에 숨겨져있는데요, 겉으로는 멀쩡한 화면보호기처럼 보이지만 클릭하면 아무일도 일어나지 않고 사라집니다. 바로 이런점 때문에 악성코드를 발견하기가 힘든건데요, 사실 아무일도 안한것처럼 보이지만 이렇게 프로세스에서는 ZoneLockUp이라는 exe파일을 생성시킨다음에 흔적을 감추는것입니다. 그러면 이제 이 Webcam Shots라는 파일은 어떤 일을 하는지 정확히 알아보기 위해 올리디버거.. 더보기 upx 언팩 드디어 upx 언팩 방법을 쓰는군요. 동아리 활동+ 시험기간이 다가오느라 블로그를 굉장히 오랬동안 못써서 미안해야 되지만 아직 시험기간이므로 5월달 되야지 다음글 쓸것같네요. ※너무 어렵고 귀찮다 싶으면 크고 강렬하게 색칠한 제목부분만 보고 맨 밑의 요약으로 내려가세요. ↓ 도입 저번 코드엔진 L06 파일의 언팩을 안한 상태로 디버거를 실행시키면 004298F0에서 pushad라는 명령어로 upx언팩부분이 시작됩니다. 그냥 코드를 쭉 읽어보면 mov esi,386D13B0.00424000 lea edi,dword ptr ds : [esi+FFFDD000] …… jmp short 386D13B0.00429912 이렇게 되있는데요 386D13B0은 파일 이름이니 빼면 1) esi레지스터에 00424000이라.. 더보기 CodeEngn Basic RCE L06 문제 풀이 원래는 이번에 패킹에 대해서 포스팅하기로 했으나 L06을 보니까 또다시 패킹이 되있는 프로그램이라 한번에 쓸려고 바로 L06분석으로 들어갑니다. L06의 문제를 보시고 프로그램을 다운받고 실행시키시면 이런 창이 뜹니다. 시리얼 넘버를 입력해서 실패하면 Wrong serial!!!이라고 뜨고 성공하면 왠지 You got it ; 이라고 뜰 것 같군요. 아 참고로 코드엔진 분석할 때 분명이 PEiD부터 쓰라고 했는데 저는 분석글을 쓰는것이고, 아직은 간단한 크랙미풀이라서 악성코드처럼 실행하면 안되는 프로그램은 아니기 때문에 프로그램을 실행시켰습니다. 그리고 실제로 악성코드도 VMware나 Virtual PC등을 이용해서 실행해 동작을 분석합니다. PEiD에 넣어서 분석해보면 문제에서 나와있듯이 패킹이 되있는.. 더보기 이전 1 ··· 6 7 8 9 10 11 12 13 다음
