반응형
분석을 하다보니 이런 경우가 있어 소개합니다.
아시는 분들도 있고, 탐지하고 계신 분들도 있지만 그래도 소수를 위하여^^???
공유합니다.
"crattack"라는 문자열을 탐지할 경우
그냥 "crattack"로 사용하면 탐지가 되겠죠. 그래서 방법 중에 하나가 암호화를 이용하는 것입니다.
간단하게 xor를 하던지 하여, xor한 문자열을 다시 로딩하기전에 xor 하여 로딩하는 방식이죠.
|
enc_str = "fproskrlrksjflfkrj"; loadlibrary(xor_dec(enc_str)); |
이런 형태?^^
그리고, 두번째는 조합을 이용한 방식 입니다.
|
sprintf(buff, "crat%s", "ttack"); loadlibary(buff); |
이렇게 해도 우회가 되겠죠?^^
물론 사용하는 Loadlibary를 감시해서 처리해도 무방하지만
뭐..하나의 방법이니 참고하시면 좋겠네요.
즐거운 삽질 만땅하시길...^^
(참고로 위 사례는 실제 핵킹 툴에서 사용하는 사례입니다.)
반응형
'Reverse > 분석 문서' 카테고리의 다른 글
| CVE-2014-0322 제로데이 취약점을 이용한 악성코드 (0) | 2014.02.24 |
|---|---|
| 유휴 프로세스(System Idle Process) (0) | 2014.02.17 |
| [WinDbg 따라하기 - 0x008] VMWare windbg 연결 하기 (0) | 2014.01.29 |
| [WinDbg 따라하기 - 0x007] Name Mangling 이란? (0) | 2014.01.22 |
| [WinDbg 따라하기 - 0x006] Map 파일 / Cod 파일 분석하기 (0) | 2014.01.21 |