C언어로 트로이 목마 만들기 -droper 주요 api

 

담겨져있는 프로그램을 extract file 을 하고

 

히든말웨어가 나오게되면

 

origin program 이 create process를 하던지

 

winexec를 하던지 실행을 합니다

 

origin program과

hidden malware는 따로따로 진행이된다.

 

하나의프로그램만했지만

 

위장하는 프로그램에도 많이 사용된다.

 

게임 핵에 말웨어를 같이숨겨두고

 

하나의프로그램으로 묶고 

게임핵을 실행하고 말웨어도 같이 실행을 합니다.

 

두개다 권한을 원하니까 사회공학적으로 당합니다.

 

 

 

droper 의 주요 api

 

 

리소스파일에 데이터를 넣는게 지원이되지않아서 상용버전을 해야한다.

 

 

 

두개의 파일이 들어가있다.

 

 

 

 

중요 설정들이있다.

 

temp한 곳에 path를 불러오고

 

idr_bin1을 불러와서 findresource (불러온다를 합니다

 

size of resource 는size구하고

 

load resource 데이터 불러오고

 

 

 

데이터 가져온게 있다면 lock resource를 통헤 리소스에대한 포인터를 얻고

그다음에 createfile로 파일생성하고

 

생성한파일을

 

writefile을 하고

 

리소스에서 가져왔던 데이터를 쓰게되고

 

 

close handle을 하고

 

create process를 통해서 s2AppFullPath 위에있던 리소스를 저장한 파일을 실행하게됩니다.

 

 

 

그대로실행하면 바로 실행이됩니다.