본문 바로가기

Analysis

15. Shellcode 2 exe 사이트 막힘에 대한 대처방안(OllyDBG로 분석)

한글 악성코드를 분석하다가.. 운좋게 쉘코드가 xor 연산이나 이런걸 거치지 않는 형태로 그대로 나와서.. exe로 바꿔서 분석하면 되겠다! 하고 shellcode_2_exe 사이트를 찾아 들어가봤는데.. 무슨 연유인지 이제 서비스를 하지 않는다고 나온다..

 

보안 업체들에서 그 사이트를 막았다는데..(왜 그랬을까..)

 

여튼 그래서 exe 파일로 열심히 만들어보려다가 결국 실패하고 쉘코드 자체를 OllyDBG로 분석하는 방법을 다시 찾게되었다.

Shellcode_2_exe 툴을 당장에 만들 상황이 안될 것 같아서 이게 유용하게 쓰일 것 같아서 블로그에 정리해놓는다..

 

1. 올리디버거로 notepad.exe 등 아무 파일이나 오픈 (notepad.exe가 제일 좋음)

2. 마우스 우측버튼 Backup -> Load backup from file 클릭

3. 쉘코드로 저장해둔 파일 로딩

4. Loading backup... 창이 뜨면 '예' 클릭 

 

5. Home키로 맨위로 올라감

6. Shift + End 키로 모든 코드를 블럭처리

7. Alt + Backspace로 코드 맨위에 Hex값을 복사

8. Home 키 눌러 맨위로 올라가서 Ctrl + Gray * 로 시작점 변경

반응형