Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- idb2pat
- 포인터 매핑
- ida pro
- pytest
- Python
- TensorFlow
- Injection
- malware
- data distribution
- javascript
- hex-rays
- debugging
- mock.patch
- open office xml
- idapython
- ida
- MySQL
- ecma
- why error
- commandline
- Ransomware
- h5py.File
- Rat
- NumPy Unicode Error
- idapro
- svn update
- error
- error fix
- Analysis
- x64
Archives
- Today
- Total
목록2017/06 (1)
13 Security Lab
[Log] 닷넷 PE이미지 로딩 악성코드 풀어보기
대상 파일: 085ea96239c20acd94ce3660931c4b58 .Net 내부에 인코딩 된 .net PE를 갖고있고, 디코딩 후 이미지교체를 통해 PE로딩 기법을 사용 PE 이미지 로더 / 이미지 드롭핑 / PE 이미지 교체 ILSpy로 먼저 살펴 보고자 했으나, 난독화의 정보가 심하고, 코드로 봐도 수상한 점을 찾을 수 없는 파일이다. CFF Explorer 를 통해서 PE 정보를 살펴 보면 VersionString 에 닷넷 v2.0.50727 임을 알 수 있다. CFFExplorer 섹션 확인섹션형태도 겁나 양호해서 내가 알고 있던 크립터로 되어있는 건 아닌 듯 하다. DnSpy로 클래스뷰를 확인하면 아래와 같다.. hadmara, hadmara.exe 가 보이면서 어느정도 윤곽이 잡힌다. 디..
Computer Security/Analysis
2017. 6. 14. 01:10