Servicemain으로 호출되면서 해당 service main에서 팩킹되어있을 때

ㅋㅋ 나뭇잎책에 있는 거네....사야하나; 옆에 사람한테 잠깐 빌려서 봣는데 있네 내용...하하...

뭐 문서보면 비슷하긴한데 올리로 좀더 상세히 설명되어잇으니 나뭇잎을 보던 이걸 보던 알아서 ㅋ 근데 나뭇잎 책 정말 잘만들었구나 리버싱내용 ㄷㄷㄷㄷ(참고로 문서는 제가 만든게 아니라 어디서 블로그에서 가져온거라 합니다.)

이번엔 특정 악성코드를 보면서 재밌는놈들 발견했다. 근래??예전에도 있을 수 있었지만..

해당 파일은 Service로 호출되어 동작하는 dll파일로 서비스로 동작 시 일반적으로 악성코드는 스레드를 생성하거나 새로운 메모리 공간을 할당하여 그곳에 악성기능을 하였다. 

근데 이번에 확인된것은 service 호출다음 vmprotect로 팩킹되어있는것으로 추정되었다.(이유 섹션 부분에 vmp0) 그래서 해당 Service 메인코드를 정상적으로 다 타고 들어가야한다. 하지만 이러한 서비스를 호출하는 방법은 svchost.exe -k 뭐라뭐라 하는 서비스를 시작시키는 프로세스로 인해서 attche 및 올바르게 적용하는 방법이 딱히 없다고 생각되었다. 근데 누가 썼는지 모르지만. 공유된 자료에서 해당 방법에 대한 접근방법을 찾았다. 우리가 드라이버 분석할때 0xcc를 ep부분에 변경하여 분석하는것처럼 올리도 그러한 방법으로 가능하였떤것이다!!!! 오 신기신기..그부분에 추후에 정리하여 올리도록 하겠다. 

- IDA 로 본 Servicemain 코드

- pe view로 본 파일의 PE 구조

해결방법....아래 문서에 나와있음

DLL 분석방법.docx

vm 팩킹은 걍 풀수있으니 패스~~~~ㅋㅋㅋ VirtualAlloc 하면 풀려서 정상코드 나옴

-----------------------------------------------------------------------------

아 이방법 강추...뭐 2~3번 하길 추천하지만..cc하지말고 여러번 돌게하는거에다가 올리디버거 인젝션 걸어서  mem 보면 해당 로드되는 주소 아이다랑 peview랑 hex 뭐였찌  아무튼 헥스랑 보는거 계산식 떼려서 bp 걸면 서비스 메인에서 무조건 걸림...ㅋㅋ 어제본(2015/09/02) 서비스 거는 dll에서 완벽하게 걸림..ㅋㅋㅋ 서비스 dll은 끝