[오토핫키] 디컴파일#4 암호화 난독화된 코드 보기(메모리덤프)

오늘은 메모리 덤프해서 추출하고 분석하는 방법을 기술 해보겠다

많은 악성코드에서 사용된다. 중요한 정보들을 빼올때 사용한다

오토핫키라는 파일을 통해서 분석법을 공유하겠다

아무리 난독화를 한다고 해도 결국 복호화를 해서 최종 메모리단에 올린다

그러므로 최종 메모리단에서는 소스코드가 노출될 수 밖에 없다

흔히 있는 난독화, 암호화 방식으로는 오토핫키의 소스코드 유출을 막을 수 없다

 

이방법을 사용하면 암호호환 소스코드도 볼수있다

 

---

 

Windows내 모든 전체메모리 덤프뜰때 사용하는 프로그램

그런데 메모리 전체를 덤프뜨면 분석하는데 일이 너무 많다

포렌식 외장하드 백업 하고 이런 사람들만 한다

4GB 분석하는데도 노답이다

우리 영역이 아니고 우리는 특정 프로세스에 메모리 덤프를 떠서 분석하는것이 필요하다

프로세스 메모리덤프

Process Exploer 을 이용하거나

dd.exe 파일을 통해서 pid를 가져와 덤프를 할수 도 있다 (악용하면 악성코드를 만들 수 있다)

 

분석법

strings라는 프로그램을 사용한다

다운로드

Strings - Sysinternals

이런식으로 결국 오토핫키 파일은 최종적으로 메모리에 복호화해서 올라가기에 암호화해도  모든 코드를 다노출한다.

사실 오토핫키를 대상으로 적었지만, 이를통해서 중요한 ID정보나 패스워드 등등 메모리에 올라가있는

약간의 지식과 노력만 있다면 많은정보들을 가져올수 있다 Password를 가져온 모습

 

악용의 소지가 있으므로 더이상은 자세히 기술하진 않겠다