2013. 11. 27. 11:21
728x90
pack 정보를 확인한다
ep부분부터 call문의 주소가 있다(ex : 00418a42) 로 이동한다
이동된 주소로 부터 밑으로 내려가다보면 JMP EAX라는 코드가 존재한다 여기까지 BP를 걸고 RUN시킨 후 해당 주소에서 이동하게 되면 그곳이 OEP가 된다. 덤프 후 IMPORT REC로 IAT를 복원해주면 언팩이 끝나게 된다.
728x90
'분석' 카테고리의 다른 글
| 고려대학교_실행압축악성코드무력화알고리즘연구_최종보고서_ver_최종본.pdf (0) | 2015.12.14 |
|---|---|
| pdf 분석방법 (0) | 2013.11.22 |
| 다형성 바이러스 바이럿[ 작성 중] (0) | 2013.11.18 |
| sys 파일에서 프로세스에 코드를 인젝션하는 악성코드. (0) | 2013.07.02 |
| 악성 문서에 대한 확인방법(PDF,MSDOC) (0) | 2013.05.10 |