#dokydoky

2013.09.28 KUCIS 서경강 세미나에서 '악성코드 분석방법' 이라는 주제로 발표했던 발표자료입니다.

- 분석대상 : DarkSeoul - 작성자 : 김영성 먼저, 패킹여부를 확인하기 위해 PEiD로 확인 Section Name을 보고 UPX로 압축되어 있다는 것을 확인. UPX Unpacker를 이용해 Unpack Unpacked 된 후의 PEiD로의 확인한 모습 이제부터 Ollydbg를 이용해 정적분석 WinMain에 진입 후, memset( addr, 0x00, 0x103 ) 으로 0x103크기의 배열을 0으로 초기화 한 후, LoadLibraryA("Kernel32.dll") 호출 이름 LoadLibrary (LoadLibraryA는 LoadLibrary의 ASCII 버전) 기능 명시된 모듈을 호출한 프로세스 주소공간에 로드한다. 명시된 모듈이 다른 모듈들을 로드할 수도 있다. 원형 HMODULE..