[CodeEngn] Malware Analysis L08

 

 

 

이번 문제도 Flow가 주어집니다.

하지만 이번 문제는 저번 문제들과는 다른 Flow가 주어집니다.

 

Flow를 열어보면

 

 

 

다음과 같이 상당히 복잡한 구조로 되어있습니다.

 

이런경우에는 사실 동적분석을 같이 진행하는것이 좋지만

지금은 정적분석만 해야하므로 분석을 진행해야합니다.

 

다른 악성코드를 실행시켜서 감염을 일으키는 함수의 주소를 찾아야하는데

일단 최대한 살펴보면서 의심스러운 부분을 찾아보면

 

 

 

 

이 부분에서 .inf 확장자 문자열을 인자로 보내서 특정 함수를 호출합니다.

.inf 파일이 뭔지 찾아보니, 파일이나 드라이버등의 설치를 진행해주는 파일의 확장자인것으로 확인됩니다.

 

하지만 악성코드를 실행하는 것으로 보이진 않기 때문에 이 부분은 아닌거 같으므로 다른 부분을 찾아보면

 

 

 

 

그 다음으로 보이는 이 부분은 .exe 확장자의 문자열이 보이고 ShellExecuteExA라는 함수가 호출되는것도 보입니다.

이 함수는 특정 프로세스를 실행시킬때 사용되는 함수입니다.

 

그러므로 이 부분이 유력한데, 여기서 첫번째 부분에서 분기가 갈리는 이유는 아마 프로세스의 이름이 .exe로 안끝나서

이 부분을 붙이고나서 다시 이 함수로 돌아와서 검사를 진행해야하기 때문이라고 추측됩니다.

 

그리고 만약 실행이 안된다면 계속해서 실행을 시도하는 부분이 보이는데

이 첫번째 함수가 바로 정답인것으로 유추됩니다.

 

문제에서 주어진 정답양식은 0040000이므로, 이 문제의 정답은 004025F4 입니다.