쉘코드 디버깅 분석 실습_API 해시 패턴 매칭

문제의 쉘코드를 IDA를 통해 분석

어셈블리 코드 형태로 강제 변환한 쉘코드 내부 구조

복호화를 위한 루프또한 보임

이를 통해 이 파일은 쉘코드임을 확신하고 분석 시작

Hax Editer를 사용하여 문제의 값을 찾음

이런식으로 나머지 API또한 찾을 수 있음

 

쉘코드 행위 분석

VirtualAlloc() 함수는 Heap 메모리를 할당할 때 사용하는 함수

InternetConnectA()함수는 인터넷으로 특정 데이터나 파일을 가져오는 함수

 

따라서 이 쉘코드는 종합적으로,

정상 실행되는 프로세스를 종료시키고

에러를 발생 시킨 뒤

사용하려는 라이브러리를 로드 후 가상 메모리 생성

이후 Http연결을 통해 인터넷에서 특정 파일을 다운로드 및 실행

하는 과정을 하는 것으로 판단