c로 컴파일된 악성 코드 3 - 고급 동적 분석

 

 

f8 을 누르고 계속 진행한다.

여기가 main함수인데 이유가

 

push 가 3개가 한번에 동작을한다

 

일반적으로 cmd에 입력하는 argument가 넘어가게되는데 arg갯수 이런정보가 넘어가는데

여기서 담고있다. 총 3개가 남어가게된다

 

simpleba.00401000 으로 넘어가게된다.

 

안으로 들어가려면 f2를 누르면 break가 걸리는데 f7이나 엔터를 누르고

 

-를 누르면 돌아간다.

 

 

 

 

이렇게 정적 분석에서 봤던 결과들이 나오게되고있다.

 

 

 

 

 

 

여기서 createThread를 실행해보면

 

 

simple backdoor를 호출하는 곳에서 걸리게되는데

 

 

여기에 break point를 걸어야한다.

 

궁극적인 쓰레드가 저것이기 때문이다.

 

 

control + g를 눌러서

4011d0으로 접속을하고 

f2 를누른다 즉break point를 건다

 

f9 를 누르면 쓰레드가 다시실행되면서 break point 가 걸린다 쓰레드를 분석할떄이런식으로해야한다.

 

 

정적떄 했던것처럼 create pipe등 여러가지가 나오게됩니다.

 

 

 

 

논리적으로 애매한 부분들은 이렇게 직접 올리디버거로 정확한 eax값과

 

살아있으면 프로그램이실행중이고 지금은 프로세스가 다진행이되고

 

정적부분에서 애매했던부분을 확인할 수있었다

 

 

103이 나오지않아야 진행이되는것이다.

 

 

정적부분에서 애매했던부분, 확인하고 싶은 부분등을 고급정적 분석으로 확인하면된다.