악성코드분석 5
중국발 문서형 이력서 악성코드 - 2. 유니버셜 쉘코드편 (Universial Shellcode)

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper: 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware: fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 지난 글 에 이어서 쓴다. 중국발 문서형 이력서 악성코드 - 1. 드로퍼&매크로편 #악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c..
<악성코드 분석공부>/<RealSample> 2022.01.31

Process Hollowing 기법 실습

#Process Hollowing #Malware - Process Hollowing 이란? Process Hollowing 은 간략히 설명하면, 정상적인 타겟파일을 suspended 상태의 프로세스로 실행 시킨 다음, 해당 프로세스 안에 악성코드 데이터를 삽입시키고 suspend 상태를 해제함과 동시에 악성코드를 정상 프로세스로 둔갑시켜 실행시키는 방식이다. CreateProcess -> NtUnmapViewOfSection -> VirtualAlloc -> WriteProcessMemory -> SetContextThread -> ResumeThread 의 흐름으로 진행된다. - 예제로 보는 Process Hollowing - OS 환경 Windows 10(x86) - 소스 #include #incl..
<악성코드 분석공부>/<여분지> 2021.08.26

[WinAPI] 리소스를 분석, 해체 해보자

#리소스 분석 API #FindResource #LoadResource #LockResource #SizeOfResource 악성코드에 리소스를 심어서 숙주파일을 뽑아내어 실행시키는 악성코드를 분석해보았다. 관련 API가 빈번히 나오는 것 같아서 정리해본다. 1. HRSRC FindResource( HMODULE hModule, LPCSTR lpName, LPCSTR lpType); #include 로 불러올 수 있다. 껍데기 파일에서 숙주 파일인 리소스를 찾는 함수이다. 인자들의 조건이 맞아떨어지면 리소스 정보 block 에 대한 핸들 을 리턴한다. Return value 에 대한 msdn 설명 Type: HRSRC If the function succeeds, the return value is a ..
<악성코드 분석공부>/<WinAPIs> 2021.08.22

[WinAPI] 프로세스 순회해보자

#WinAPI #프로세스 탐색 1. EnumProcesses(DWORD *lpidProcess, DWORD cb, LPDWORD lpcbNeeded); #include 로 불러와서 실행가능하다. 현재 실행 중인 프로세스들의 PID 를 불러와서 배열에 저장한다. [인자설명] lpidProcess : 실행 중인 프로세스들의 PID 를 저장할 DWORD 배열이다. cb : 첫 번째 인자 배열의 사이즈이다. lpcbNeeded : 전체 프로세스 PID 들의 총 바이트를 저장할 DWORD 변수이다. ( DWORD(4) * 프로세스들의 수 ) = ( 총 바이트 ) 2. HANDLE OpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);..
<악성코드 분석공부>/<WinAPIs> 2021.08.13
1
더보기
반응형

티스토리툴바