2014. 7. 31. 11:21, 유용한 지식 자료들/악성코드 기법
이번 악성코드를 살펴보니 자식 프로세스에 메모리를 재할당하고 Thread Context 구조체를 활용, OEP를 원하는 지점으로 수정하는 방법을 사용하고 있었다.
찾아보니 이미 HOWTO가 많이 검색되었다.
아래는 320변종이라는 악성코드가 사용하는 코드
악성코드가 Thread Context 구조체를 접근하는 이유는 Eax, Ebx가 각각 특정 포인터 역할을 하기 때문이다.
Context.Eax =>Original Entiry Point(OEP)
Context.Ebx =>Process Environment Block(PEB)
(PEB + 8 offset은 Image Base Address이므로 PEB 주소를 알면 이를 수정할 수 있다.)
Eax를 보면 OEP가 수정되었다는 것을 알 수 있다.
'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글
| “Zusy” PowerPoint Malware Spreads Without Needing Macros (0) | 2017.06.26 |
|---|---|
| 안티VM 악성코드 - 사이즈 확인도 (0) | 2016.02.16 |
| 스크린캡쳐 (0) | 2013.08.05 |
| 후킹(자가보호) 해제 (0) | 2012.12.27 |
| 악성코드 'PlugX Dropper'의 설치 방식 (0) | 2012.11.14 |
Comments, Trackbacks
