1. XOR decode. XOR키는 대부분 유일한 것을 쓰므로 XOR연산을 반복하고 있다면 유심히 보자
2. 문자열들. 각 악성코드마다 특별한 문자열이 있을 것이다. 그것을 이용하자
3. unpack 함수들. 상용 packer를 쓴경우가 아니라면 그것은 자신만의 packer일 가능성이 높다. 이를 패턴화하자
4. icon. icon 역시 unique한 icon을 넣는다. 물론 안넣는경우도 있다만...
5. rich header정보. 컴파일 시의 정보는 역시 환경이 같으면 같을 것이고 특히 rich header의 xor키는 비슷한시기 같은 컴파일의 경우 XOR key가 같은 경우가 많다.
6. pdbpath나 pdb의 guid(or signiture)또한 같은 visual studio project에서 컴파일 되었다면 같기 때문에 사용할 수 있다.
위의 내용 모두 없을 때도 있고 있어도 아닌 경우가 있으므로 종합해서 따지도록 하자
'악성코드 분석 관련' 카테고리의 다른 글
악성코드들의 패킹해제 (0) | 2019.04.26 |
---|---|
ida 사용법 모음 (0) | 2019.01.21 |
pdb 정보에 대하여 (0) | 2019.01.17 |
rich header(2) (0) | 2018.09.21 |
rich header (0) | 2018.09.17 |
WRITTEN BY
- Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다
,