반응형 Programming/Security Programming6 Parite.B 파일바이러스 치료로직 개발 이번에 파일바이러스 전용백신개발을 하고싶어서 Parite.B의 분석 및 전용백신개발을 해봤습니다. Windows7이상에서는 ASLR때문에 제대로된 감염이 되지 않아 분석환경은 XP로 진행하였습니다. 이 글에서는 분석내용은 자세하게 다루지 않고 전용백신개발하는데 있어서 필요했던 특징들만 포함하였습니다. Parite.B는 감염파일에 Section을 생성하고 추가된 섹션에 EP값으로 조정하여 실행시 먼저 악성코드가 실행되도록합니다. 섹션헤더는 다음의 규칙을 가집니다. 위 규칙으로 생선된 이름으로 섹션을 추가하고 해당 섹션이 실행되도록 EP를 조정합니다. Parite.B의 치료로직을 짜는데 있어서 가장 어려웠던점은 코드의 다형성이었습니다. 생성되는 코드는 크기가 고정되지 않고 중간중간 nop처리와 어샘블리코드의.. 2017. 6. 4. [Win32 / C] ntdl.dlll의 InlinHook탐지 이번에는 유저레벨악성코드에서 이루어지는 InlineHook에 대한 탐지 로직을 짜보았습니다. 함수의 원코드와 로드된 API의 코드가 같은지 판별합니다. 이를 통하여 후킹이 이루어졌는데 아닌지를 판별합니다. 다음은 후킹이 걸린 프로세스들의 모습을 툴을 통하여 탐지한 모습입니다. 앞전에 공부했던 프로세스의 모듈검색코드로 메모리상의 ntdll.dll의 주소를 찾아 EAT를 파싱하여 원래의 값과 비교하였습니다. 프로그램실행결과!!! 성공적으로 후킹을 탐지하는 것을 볼 수 있었습니다. 2017. 5. 6. 이전 1 2 다음 반응형
