그 악성코드 키 값

Analysis 2017.09.13 13:23 posted by muhan56

 

 

[사진 1] 정상 모듈에 들어간 코드

 

 

 

[사진 2] DNS 쿼리한 다음에 받은 값을 이용하여 바이너리를 디코딩하는 로직

 

 

원래는 DNS 에서 정상적으로 질의가 되면 키 값을 넣어 내부에 바이너리가 디코딩되지만

 

분석 당시 DNS에 등록된 정보가 없어서 키 값을 알 수 없어 더 이상 분석을 할 수 없었지만

 

분석 정보를 정리하다가 [사진 1]과 [사진 2]의 로직을 봤는데...자세히 보니까 비슷하네요?

 

혹시나? 해서 [사진 1]에 있는 값을 변경(뺄샘 값을 덧샘 값에 맞게 바꿈)하고 [사진 2]에 넣었더니 바로 풀리네요?

 

 

[사진 3] 디코딩을 위한 키 값

 

네..그렇게 해서 풀었고 키 값은 0xC9BED351, 0xA85DA1C9 입니다 :D

 

'Analysis' 카테고리의 다른 글

그 악성코드 키 값  (0) 2017.09.13
C#  (0) 2017.07.27
busybox mips 용  (0) 2016.11.02
qemu mips 디버깅  (0) 2016.09.22
IRP MajorFunction  (0) 2016.03.04
코드인젝션에 대해 잘 설명한 자료  (0) 2016.02.17