'진정한 삽질'에 해당되는 글 1건

  1. 2009.10.16 가짜 RAR 악성코드 #2 2
0x02 analysis2009. 10. 16. 18:00

이전 포스팅(http://malwarelab.tistory.com/53)에서 말씀드렸듯이 프로그램을 짜볼려 노력은 조금(?) 했습니다.

프로그래밍 공부를 해야겠다는 생각만 들게 하더군요..

아는 형(잡초인생)에게 부탁했습니다.

리눅스에서 C는 쫌(?) 하시는 분입니다.


결과는.....와우~

첫번째 라인 제거하고 모든 바이트를 특정 키값으로 빼서 실제 동작하는 exe를 추출 했습니다.

하지만 곧 제가 생각이 짧았다는걸 알게 되었습니다.

Stud PE나 PEiD에서 확인해보니 Not a Valid PE file 이라는 메시지만 볼 수 있었습니다. ㅜ.ㅜ




이걸 보니 뭔가 다른 로직이 더 있을거라는 생각이 들었습니다.

가장 좋은 방법은 dll 파일이 있으면 좋겠지만 아직 확보를 못했습니다.




그래서 생각한 방법이 하나 있습니다.

좀 말씀드리기 부끄럽기만 진정한 삽질을 한번 해볼까 합니다. -_-;;

일단 변경된 내용을 가지고 PE 포맷의 어느 부분이 잘못되었는지 확인해볼까 합니다. (말도 안되는...)

MZ와 PE signature는 찾았으니 PE 포맷을 확인해보면 분명 어딘가 잘못된 곳이 있을겁니다.


오늘도 즐삽~




Posted by demantos