제리의 블로그

Lab15-01.exeLab15-01.exe 파일을 그냥 더블클릭해보면커맨드 창이 순식간에 떳다 사라진다. 그래서 아래와같이 실행시켜보았다.C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_15L>Lab15-01.exe Son, I am disappoint.뭔가 조건이 맞지 않은 모양이군요.문자열이 나왔으니 함 찾아볼까요 .data:00403010 0000000A C Good Job! .data:0040301C 00000016 C Son, I am disappoint.실패 문자열뿐만이 아니라 성공 문자열까지 나온 것을 확인할 수 있습니다. .text:00401047 xor ..

Lab15-03.exe retaddr = 0x40148C;main() 함수 .text:0x40100C 를 보면 위와같은 주소가 저장되는 모습을 볼 수 있습니다. .text:0040148C push ebp .text:0040148D mov ebp, esp .text:0040148F push ebx .text:00401490 push esi .text:00401491 push edi .text:00401492 xor eax, eax .text:00401494 jz short near ptr loc_401496+1그래서 40148C를 확인해보니 xor; jz+1; 형태의 안티디스어셈블리를 확인할 수 있습니다.악성코드의 주요코드가 숨겨져있을거라고 예상이 됩니다.. 40148C의 코드는 call 이나 jmp 명령..

Lab15-02.exe다음은 strings한 결과입니다.ShellExecuteA SHELL32.dll WS2_32.dll InternetCloseHandle InternetReadFile InternetOpenUrlA InternetOpenA WININET.dll fclose fwrite fopen malloc strstr printf MSVCRT.dll _exit _XcptFilter exit __p___initenv __getmainargs _initterm __setusermatherr _adjust_fdiv __p__commode __p__fmode __set_app_type _except_handler3 _controlfp _strdup not enough name internet unable ..