간단히 만들어진 파일을 분석해보자
sln을 이제 열어보니까
main내용을 보면 messagebox하나만 실행된다
F5 로 실행해보니까
UPX 로 패킹하고 언패킹해보면된다.
여기로 들어가서 CMD로 저경로로 간뒤에 진행을 합니다.
그러면 압축을 진행했습니다.
메세지 박스는 압축을해도 똑같이 메세지박스가 나오지만
PE구조를 보게되면
이게패킹된것과 패킹되지 않은것의 차이가 가장컷다.
패킹이되면 가상메모리를 할당하고 그런 내용만있지만
언패킹된 원래 프로그램은 구조 자체가 틀리고 자세하게볼 수 있습니다.
푸는것은 upx.exe -d MsgBox_upx.exe -o Msg_unpack_upx.exe
풀어서 peview로도 관찰하니까 아주 잘됬다.
그래프 버튼을누르게되면
압축이 된애와 압축이 풀린애의 그래프를 관찰도 해보니까 조금 많이 달랐다.
zero value의 차이와
해쉬값도 바꼇다
exeinfo를 통해
멀로 패킹됬는지 알수있었습니다.
'악성코드 및 포렌식' 카테고리의 다른 글
| c언어로 다운로더 만들기 (0) | 2021.03.28 |
|---|---|
| PE Spin 언패킹 (0) | 2021.03.28 |
| Analysis practive malware 기초정적분석 (0) | 2021.03.14 |
| c로 컴파일된 악성 코드 3 - 고급 동적 분석 (0) | 2021.03.14 |
| il2cpp game hacking (0) | 2021.03.13 |