2017/09/13 썸네일형 리스트형 그 악성코드 키 값 [사진 1] 정상 모듈에 들어간 코드 [사진 2] DNS 쿼리한 다음에 받은 값을 이용하여 바이너리를 디코딩하는 로직 원래는 DNS 에서 정상적으로 질의가 되면 키 값을 넣어 내부에 바이너리가 디코딩되지만 분석 당시 DNS에 등록된 정보가 없어서 키 값을 알 수 없어 더 이상 분석을 할 수 없었지만 분석 정보를 정리하다가 [사진 1]과 [사진 2]의 로직을 봤는데...자세히 보니까 비슷하네요? 혹시나? 해서 [사진 1]에 있는 값을 변경(뺄샘 값을 덧샘 값에 맞게 바꿈)하고 [사진 2]에 넣었더니 바로 풀리네요? [사진 3] 디코딩을 위한 키 값 네..그렇게 해서 풀었고 키 값은 0xC9BED351, 0xA85DA1C9 입니다 :D 더보기 이전 1 다음