[분석툴] Converter Tool을 이용하여 특정 데이터를 리틀엔디언(Little-Endian)으로 변환하는 방법 분석을 하다보면 HEX 값을 ASCII로 변환 해야 하는 경우가 다수 있다. 보통 ShellCode를 살펴보다 보면 이런 값들을 많이 보게 되는데 한가지 예시를 들어보자. 0x68FFFFFE, 0x3A707474 -> 이 값을 ASCII로 변환해 보면 "h ?ptt" 이러한 값이 보여진다. 유추 해 보자면 이 값은 "http:" 를 나타나는 HEX 값일 것이다. 그럼 리틀엔디언(Little-Endian) 방식으로 값을 변환 해서 아래와 같은 값으로 바꾸면 된다. (※ 변환값을 알기 쉽도록 2바이트마다 (숫자)로 표기함) 0x68(1)FF(2)FF(3)FE(4), 0x3A(1)70(2)74(3)74(4) : (원본) ↓ 0xFE(4)FF(3)FF(2)68(1), 0x74(4)74(3)70(2)3A(1) :.. 2014. 7. 11. 악성파일 다운로드의 새로운 URL 암호화 방식 악성파일들이 다운로드 시키는 URL을 암호화 시키는건 어제 오늘의 이야기가 아니다. 하지만, 제작자들도 귀찮은건지 Tool이 그렇게 지정되어 있는건지는 모르겠으나~ 암튼 바꼈다;; 예전에는 간단히 XOR, Inc, Dec 같이 간단하게 암호화를 시켰으나, 이번에는 조금 복잡하게 수정했다. 우선 악성파일이 서버로부터 다운로드 받은 update1.txt 파일이다. 내용에 뭔가 이상한 숫자들이 적혀져 있다. 분명 URL이라는 직감은 있었다, 남자의 직감!! ㅋㅋㅋㅋㅋㅋㅋㅋ 자 그럼 이 내용이 어떻게 URL이 되는지 알아보자!! 드롭퍼를 살펴보면 update1.txt 파일을 다운로드 하여, 내용을 파싱하는 부분을 지나면 레지스터에 해당 숫자들이 저장한다. 음...사진을 분명 많이 찍어놨는데~ 왜 이거밖에 없는건.. 2011. 11. 8. 이전 1 다음
