[Malware analysis] Visual Basic 악성코드 VB 전용 엔진을 사용해 Visual Basic으로 제작되었다. 스팸 메일 외 다수 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과 동작 방식이 단기적으로 같은 특징이 있는 경우도 있다고 한다.또한, 인터넷 주소로 접속을 시도해 다른 악성코드들을 다운로드 및 실행하게 만들며 암호 유출용 악성코드의 전파와 실행을 보조하기도 한다 Visual Basic으로 작성된 걸 확인할 수 있다. 1. Visual Basic Main 살펴보면 난독화 된 코드를 확인할 수 있다. 진행하며 살펴보겠다. 살펴보게 되면 이전 할당 받은 공간에 [EAX+EDX] 주소부터 데이터를 입력하는 것을..
[Reversing] Process Hollowing 기법 프로레스 할로잉 기법은 자식 프로세스를 이용하여 프로세스 자체를 인젝션하는 것으로 간략하게 말하자면 절차는 자식 프로레스를 서스펜드 상태로 만든 뒤 기존 악성 프로세스의 정보를 얻어 자식 프로세스의 각 위치에 매핑을 한다. 이후 메모리를 할당과 악성 데이터를 삽입한 후 서스펜드 상태를 풀어주게 되면 악성 행위를 하게된다.. source code> https://github.com/theevilbit/injection/tree/master/ProcessHollowing 프로세스 생성(SUSPENDED) BOOL CreateProcessA( LPCSTR lpApplicationName, LPSTR lpCommandLine, LPSECURITY_ATT..
- Total
- Today