제리의 블로그

Lab16-02.exe 질문1. 커맨드라인에서 Lab16-02.exe를 실행할 때 어떤 일이 발생하는가? C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_16L>Lab16-02.exe usage: Lab16-02.exe 2. Lab16-02.exe를 실행할 때 어떤 일이 일어나는지 보고 커맨드라인의 파라미터를 추측해라. C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_16L>Lab16-02.exe p@ss Incorrect password,..

Lab15-01.exeLab15-01.exe 파일을 그냥 더블클릭해보면커맨드 창이 순식간에 떳다 사라진다. 그래서 아래와같이 실행시켜보았다.C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_15L>Lab15-01.exe Son, I am disappoint.뭔가 조건이 맞지 않은 모양이군요.문자열이 나왔으니 함 찾아볼까요 .data:00403010 0000000A C Good Job! .data:0040301C 00000016 C Son, I am disappoint.실패 문자열뿐만이 아니라 성공 문자열까지 나온 것을 확인할 수 있습니다. .text:00401047 xor ..

Lab16-01.exe if ( *(_BYTE *)(__readfsdword(0x30) + 2) ) del_file(); if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30) + 0x18) + 0x10) ) del_file(); if ( *(_DWORD *)(__readfsdword(0x30) + 0x68) == 0x70 ) del_file(); 이 프로그램은 3가지 안티디버깅 기법이 적용된 Lab09 실습 프로그램입니다.디버깅 중이라는 것이 판명되면 악성코드 스스로 삭제하게 됩니다. (sub_401000) 첫번째는 BeingDebugged 플래그 .text:00403554 mov eax, large fs:30h .text:0040355A mov bl, [eax+2] ...

Lab15-03.exe retaddr = 0x40148C;main() 함수 .text:0x40100C 를 보면 위와같은 주소가 저장되는 모습을 볼 수 있습니다. .text:0040148C push ebp .text:0040148D mov ebp, esp .text:0040148F push ebx .text:00401490 push esi .text:00401491 push edi .text:00401492 xor eax, eax .text:00401494 jz short near ptr loc_401496+1그래서 40148C를 확인해보니 xor; jz+1; 형태의 안티디스어셈블리를 확인할 수 있습니다.악성코드의 주요코드가 숨겨져있을거라고 예상이 됩니다.. 40148C의 코드는 call 이나 jmp 명령..