[3] 악성코드 분석
- 2021.11.08 -
** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. **
| [Virtual Environments] OS : Windows 10 pro Architecture : 64bit Tools : IDA maleware file : pingguo_21561000328[1].exe |
| [ 과제 목차 ] > IDA를 이용하여 코드를 분석하고 해독 > IDA를 이용하여 코드 내의 상호 참조를 찾아서 체크 > IDA를 이용한 바이너리 패치(프로그램바이트 패치) |
[ IDA를 이용하여 파일을 분석하여 해동 ]
메모리주소 text:0043544F
의 붉은 영역에서 지역변수들을 확인할 수 있다.지역변수는 -로 체크가 되며 총 7개로 확인되었다.
메모리주소 text:00435451의 파란색 영역은 offset으로 변수가 사용하는 주소를 가리킨다.
주소는 메모리주소 0045D348이다.
메모리주소 text:00435478
의 초록색 영역은 전역변수를 식별하는 주소이다.
[ IDA를 이용하여 코드 내의 상호 참조를 찾아서 체크 ]
메모리주소 text:004354A1에 위치한 jz short loc_4354AF가 상호 참조를 나타낸다.
IDA에서는 xrefs 기호가 상호참조를 위한 기호이며 여기서 상호참조란 참조라는 개념을 형식화함.
기본적으로 코드 상호참조(CODE XREF)와 데이터 상호참조(DATA XREF)라는 2개의 상호참조가 있다. 상호참조를 어디서 호출되었는지 어디서 접근했는지 라는 개념으로 생각하는게 좋다.
코드에 있는 ; CODE XREF: start+52^j는 jz short loc_4353AF가 위치한 메모리주소 004354A1에서
접근한 것임을 알 수 있다.
상호 참조는 악성 바이너리를 분ㄴ석할 때 매우 유용하다. 분석하는 동안 문자열 또는 유용한 함수를 찾았거나 코드에서해당 문자열과 함수를 어떻게 사용하는지 알고자 할 때 상호 참조를 이용해 문자열과 함수를 참조하는 위치로 빠르게 이동할 수 있다.
[ IDA를 이용한 바이너리 패치 ]
해결 못하고 제출..;
마 치 며
시간이 더 있었다면 분명 해결할 수 있었을 것이다 라는 말은 이 과제를 해보면 핑계라는 걸 알 수있다..
시간이 문제가 아니다.. 시간이 많아도 못하는 내 능력이 문제인 것..;
언젠가 다시 저 바이너리패치를 하는 날이 오기를..
'Malicious Code > Analysis' 카테고리의 다른 글
| [6] 악성코드 분석 (0) | 2022.01.31 |
|---|---|
| [5] 악성코드 분석 (0) | 2022.01.28 |
| [4] reverseMe.exe 분석 (0) | 2022.01.23 |
| [2] 악성코드 분석 (0) | 2021.11.08 |