한글 악성코드를 분석하다가.. 운좋게 쉘코드가 xor 연산이나 이런걸 거치지 않는 형태로 그대로 나와서.. exe로 바꿔서 분석하면 되겠다! 하고 shellcode_2_exe 사이트를 찾아 들어가봤는데.. 무슨 연유인지 이제 서비스를 하지 않는다고 나온다..
보안 업체들에서 그 사이트를 막았다는데..(왜 그랬을까..)
여튼 그래서 exe 파일로 열심히 만들어보려다가 결국 실패하고 쉘코드 자체를 OllyDBG로 분석하는 방법을 다시 찾게되었다.
Shellcode_2_exe 툴을 당장에 만들 상황이 안될 것 같아서 이게 유용하게 쓰일 것 같아서 블로그에 정리해놓는다..
1. 올리디버거로 notepad.exe 등 아무 파일이나 오픈 (notepad.exe가 제일 좋음)
2. 마우스 우측버튼 Backup -> Load backup from file 클릭
3. 쉘코드로 저장해둔 파일 로딩
4. Loading backup... 창이 뜨면 '예' 클릭
5. Home키로 맨위로 올라감
6. Shift + End 키로 모든 코드를 블럭처리
7. Alt + Backspace로 코드 맨위에 Hex값을 복사
8. Home 키 눌러 맨위로 올라가서 Ctrl + Gray * 로 시작점 변경
반응형
'Analysis' 카테고리의 다른 글
| 17. MS Office VBA 프로젝트 암호 깨부수기(+xlSheetVeryHidden 깨부수기) (0) | 2019.09.12 |
|---|---|
| 16. olevba 사용법 (0) | 2019.09.07 |
| 14. Nemty (0) | 2019.08.29 |
| 13. 분석 특징 정리 (0) | 2019.08.26 |
| 12. 악성코드 샘플 수집 관련 사이트(무료) (0) | 2019.08.26 |
