목록encrypt (1)

13 Security Lab

[AutoIt] AutoIt EXE Packed by MPRESS 열어보기

AutoIt EXE Packed by MPRESS 간단하게 분석하기 md5 : SUpdater.exe 4751d2a3f998692aa0bafbd8dc1e1f05 SRestore.exe 67be02e15042b5a109ff2f5d55ee720a MPRESS 패커로 패킹되어 있으며 아래와 같은 PE구조를 가지고 있다. 바이너리 문자열로는 인지할 수 없지만 디버깅시 쉽게 AutoIt임을 알 수 있다. 아이콘 모양은 다음과 같다. 여기까지의 정황 그리고 기능이 매 시간 간격을 두고 동작하는 기능이 C&C와 통신하는 것과 유사하다. 그러나, 재확인 과정에서 아래와 같이 MPRESS 패킹된 원본파일이 아래와 같이 EXE2AUT로 디컴파일됨을 확인하였고 아래와 같이 정상프로그램으로 나타났다. Updater.exe U..
Computer Security/Analysis 2016. 3. 21. 11:54
Prev 1 Next