해당 악성코드는 system32 폴더에 악성 DLL을 생성한 후에 winlogon 프로세스에 Injection을 한다.원본 코드는 다음과 같다.
내가 개발한 API 난독화 해제 모듈을 이용하면 다음과 같다.
정상적으로 API 호출이 보이고 파라미터들도 잘 보인다. 하지만 몇 가지 버그가 있어서 함수 Call을 제대로 잡지 못한다. 현재는 수정을 한 상태이다.
'Unpacking > Unpacking Tech' 카테고리의 다른 글
| Obsidium 관련 정리 (1) | 2018.07.19 |
|---|---|
| Stub Code 특성을 이용한 OEP 찾기 (0) | 2017.06.11 |
| ASProtect (0) | 2017.03.03 |
| Hooking 과 난독화(Obfuscation) 의 관계 (1) | 2017.01.30 |
| API Backtrace 를 이용한 API 역난독화, 과연 만능일까? (0) | 2017.01.28 |
