반응형 ebfe1 How to Debug PE 악성코드를 분석하다보면, 디버깅은 뗄래야 뗄 수 없는 분석방법이다. 이 과정에서 실제 악성행위를 하는 부분이나 혹은 분석가가 원하는 부분만을 디버깅하는 것이 중요하다. (나는 실제로 간단한 샘플을 초기에 ntdll부터 디버깅을 해서 아주 고생한적이 있다.) 데이터파일이나 메모리상에 존재하는 쉘코드를 읽어서 특정 프로세스에 주입시키거나, 어떤 지점으로 가고자 할 때 쓰는 방법이 있다. * 해당 dll이나 exe파일이 어떤 데이터파일을 읽어온다면, (주로 CreateFile -> ReadFile -> VirtualAlloc~ ) 그 데이터파일을 올리디버거가 존재하는 동일 경로에 놓아야한다. 쉘 코드의 시작지점이나 아니면 원하는 모듈의 EP를 EB FE(jmp 0x0)로 변경하여 디버깅을 시도한다. 이 .. 2022. 3. 31. 이전 1 다음 반응형
