2013. 6. 11. 14:15
728x90
1. A번 올리로 악성파일에서 CreateProcess를 통해서 IE의 프로세스가 생성된다.
2. 생성된 프로세스에 또 다른 올리디버거로(B번 올리) Attach를 시켜 로드 시킨다.
3. A번 올리를 통해서 코드가 VirtualAllocEX를 통해 메모리 할당을 한 값을 EAX으로 주소를 확인 할 수 있으며, 이 값을 B번 올리값에 가보면 해당 메모리가 할당된 것을 확인 할 수 있다.
[그림 1] A번 올리
[그림 2번] B번 올리
4. 이제 B번 올리에서 ATTACH되어 동작하는 악성코드주소에 BP를 걸고 분석 하면 된다.
인젝션되어 동작하는 코드 분석시.docx728x90
'리버싱' 카테고리의 다른 글
| vm 우회 (0) | 2013.07.02 |
|---|---|
| Packing, Anti-debugging의 개념 및 Reversing의 개념 이해 [IDT].pdf (0) | 2013.06.11 |
| FS Register 정의 Undocumented API (0) | 2013.06.10 |
| olldbg 메모리 주소 덤프 후 ida로 보기 (0) | 2013.06.03 |
| 안티리버싱 기초 기술 (1) | 2013.05.24 |