FSG코드 특징 - JMP를 연속 3개 사용한다
Lab01-03.exe 더 심하다
PEiD 패킹언패킹 분석
알고보니 FSG로 패킹되어 있는거고 언패킹을 하려면 다른 도구를 사용해야 한다
UPX로 패킹되어 있지 않아서 언패킹이 불가능 한것 같다
정보가 단지 ㅇ ㅣ거밖에 안나온다.. 어쩌면 너무 강력한 패킹이 되엇나보다
정보가 너무 없다
아직은 정보가 이거밖에 없어서 호스트 기반은 모르겠으나 일단 언패킹을 하고 다시 조사를 해야 정확히 알 수 있을것이다
일단 처음에 내가 생각하기에 405000이라고 생각햇다 엔트리 포인트가 근데 아니더라
여기는엔트리 포인트가 아니다 일단
방법은 일단
진짜 엔트리포인트를 찾아야한다
그렇지 못한다면 엔트리 포인트를 가리키는 메인함수를 찾아야 한다
일단 나는 엔트리 포인트를 쉽게 찾는 방법으로 진행
이제서야 진짜 엔트리 포인트가 나온다
UUID와 플러그인스 경로 맞추어서 OllyDump 플러그인 나오게만들기
그리고 디버거를 다시 껏다 킨다
그러면 플러그인 쪽에 OllyDump가 나온다
엔트리 포인트 주소가 맞는지 확인 하고 덤프시작
머 다른이름으로 저장
짜잔 패킹이 풀렸더ㅏ
언패킹 이후 정말 풍부한 악성코드들이 나온다
언패킹 파일 strings 확인하기
주요 악성코드들
왼쪽 패킹된 : 어른쪽 언패킹됨 비교
'보안 > 악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] 정적분석 / Lab01-04.exe / Resource Hacker (0) | 2025.03.04 |
|---|---|
| [악성코드 분석] Win API (0) | 2025.03.04 |
| [악성코드 분석] 정적 분석하기 Lab01-02.exe (0) | 2025.03.04 |
| [악성코드 분석] 정적분석 (0) | 2025.03.04 |
| [악성코드 분석] Lab01-01.dll 분석 (0) | 2025.03.04 |