(혼자 공부하며 참고하기 위해 본문 내용을 그대로 가져왔습니다. 문제시 삭제 조치 하겠습니다.)
악성코드 분석을 하다보면 여러가지 팩커를 만나는데 너무 힘들게 하는 패커는 더미다 이다.
분석을 편하게 완벽하게 만들수는 없지만 간단한 방법으로 언팩하는 방법을 기술 한다.
# 이방법은 단순히 메인 함수를 찾는 방법이다 . 더미다의 분석 방해 기법인 API리다이렉트 등에 대한 해결책은 제시 되어 있지 않다.
1. 더미다 안티 디버깅 우회
종종 이런것들이 힘들게 한다 PhamtOm플러그인으로 우회를 할껀데 귀찬으니까 옵션을 다켠다.
2. ZwFreeVirtualMemory 에 BP
ZwFreeVirtualMemory 에 BP를 건다.
3. 코드섹션 값 확인
Shift + F9 를 눌러가면서 코드섹션 값을 확인한다.
코드섹션 값이 코드로 변하면 ZwFreeVirtualMemory 에 BP 없엔다.
4. 메인 함수 찾기
코드섹션에서 B8 4D5A0000 바이너리를 찾고 BP를 걸고 Shift + F9 를 누른다.
이후 F8을 누르면서 진행하다 보면 메인 함수로 들어가는 곳을 발견할수 있다.
출처 : http://dandilab.tistory.com/30
'Analysis > Theory' 카테고리의 다른 글
| Ollydbg_Back To User Mode (0) | 2019.01.06 |
|---|---|
| 악성코드 'PlugX Dropper'의 설치 방식 (0) | 2019.01.06 |
| 중복 실행 방지 코드_CreateMutex( ) (0) | 2019.01.06 |
| 프로세스와 스레드(Process & Thread) (0) | 2019.01.06 |