Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- hex-rays
- javascript
- NumPy Unicode Error
- Analysis
- why error
- pytest
- error
- x64
- debugging
- error fix
- open office xml
- idb2pat
- mock.patch
- TensorFlow
- idapro
- svn update
- Injection
- Rat
- MySQL
- idapython
- Ransomware
- ida
- commandline
- ecma
- malware
- Python
- data distribution
- ida pro
- h5py.File
- 포인터 매핑
Archives
- Today
- Total
목록encrypt (1)
13 Security Lab
[AutoIt] AutoIt EXE Packed by MPRESS 열어보기
AutoIt EXE Packed by MPRESS 간단하게 분석하기 md5 : SUpdater.exe 4751d2a3f998692aa0bafbd8dc1e1f05 SRestore.exe 67be02e15042b5a109ff2f5d55ee720a MPRESS 패커로 패킹되어 있으며 아래와 같은 PE구조를 가지고 있다. 바이너리 문자열로는 인지할 수 없지만 디버깅시 쉽게 AutoIt임을 알 수 있다. 아이콘 모양은 다음과 같다. 여기까지의 정황 그리고 기능이 매 시간 간격을 두고 동작하는 기능이 C&C와 통신하는 것과 유사하다. 그러나, 재확인 과정에서 아래와 같이 MPRESS 패킹된 원본파일이 아래와 같이 EXE2AUT로 디컴파일됨을 확인하였고 아래와 같이 정상프로그램으로 나타났다. Updater.exe U..
Computer Security/Analysis
2016. 3. 21. 11:54