[CodeEngn] Malware Analysis L05

 

 

 

 

주어진 파일은 txt파일입니다.

 

파일을 열어보면

 

 

 

 

저번처럼 C언어 함수가 하나 있습니다.

 

대략적으로 분석해보면

 

64개의 문자열테이블을 하나 설정하고

버퍼에 있는 데이터 하나를 3f와 and연산을 해서 테이블 요소로 매칭시켜서

Output 문자열에 거꾸로 1글자씩 넣습니다. 그리고 버퍼값을 6비트 오른쪽으로 쉬프트합니다.

 

그리고 데이터를 바꾼만큼 Output과 encoded값을 늘리고 l값이 76이면서 SizeOfData가 3보다 큰 상태라면

문자열을 개행시키고, 만약 SizeOfData가 0이면 encoded값을 반환하고 종료됩니다.

 

지금까지의 분석을 통해서 생각해보면

base64 인코딩이 유력합니다.

 

실제로 찾아보면 이와 같은 방식으로 인코딩이 이루어지기 때문에 정답은 base64입니다.