#1 : http://redscreen.tistory.com/66
------------------------------------------------------------------------------------------------------------------------------------------
10. 0x1000FF58에서 서브루틴으로 수백 라인은 문자열을 비교하기 위한 일련의 memcmp 비교다.
robotwork와 문자열 비교가 성공적으로 이뤄지면 무슨 일이 일어나는가? (memcmp가 0을 반환)
------------------------------------------------------------------------------------------------------------------------------------------
일단 문제에서 주어진 문자열 "robotwork"를 찾습니다.
Strings window에서 검색기능을 이용하여 robotwork를 찾습니다.
해당 문자열은 xdoor_s 섹션에 있고,
상호참조 리스트를 이용하여 어디서 사용되고 있는지 확인합니다. (정말 좋은 기능이네요..)
다른 memcmp 함수와 동일하게 사이즈, 사용자입력값, 비교문자열 3가지 인자를
push하고 memcmp를 호출합니다.
memcmp는 두 비교문자열이 같으면 0을 결과값으로 반환합니다.
test eax eax 명령어를 수행해여
1) 결과값 0 반환 --> (문자열이 같음) --> ZF=1 세팅 --> loc_10010468 Jump
2) 결과값 0 아님 --> (문자열이 다름) --> ZF=0 세팅 --> loc_100052A2 Jump (다음 문자열 비교)
문자열이 "robotwork"와 동일하면 loc_10010468으로 점프하게 되므로
계속 트레이싱 하며 따라가면 아래와 같은 어셈블리 코드가 나옵니다.
코드가 갑자기 길어져서 한번에 파악하기는 힘들지만,
아래부분에 분홍색 RegOpenKeyExA API와 push되는 레지스트리 관련 문자열이 가장 눈에 확 들어옵니다.
RegOpenKeyExA API는 성공하면 ERROR_SUCCESS(0) 을 반환하고, 핸들키값을 넘겨줍니다.
1) API 호출에 성공 --> test eax eax 명령어를 통해 0이 반환되며, loc_10005309로 Jump (오른쪽)
2) API 호출에 실패 --> RegCloseKey API와 함께 종료 (왼쪽)
2번 케이스의 경우, Graph overview에서 독보적인 빨간색 화살표와 함께 서브루틴이 끝나는 것을 볼 수 있습니다.
1번 케이스의 경우, 아래와 같은 loc_10005309 서브루틴을 실행합니다.
역시 루키라 한번에 파악은 절대 안됩니다 OTZ...
분홍색의 RegQueryValueExA, sprintf, atoi 등의 API들이 가장 잘 보이고,
파란색의 API 인자값들이 눈에 띕니다.
가장먼저 실행되는 RegQueryValueExA는 먼저 나온 RegOpenKeyExA, RegCloseKey와 세트로 등장하는 API입니다.
Syntax는 아래와 같으며, 해당 함수를 실행하기 위해 lpValueName "WorkTime"을 포함한 6개의 인자를 push하고
ebx에 저장해두었던 RegQueryValuesExA 함수를 call 하는 부분을 위의 어셈블리 코드에서 볼 수 있습니다.
만약 여기서 함수 호출에 실패하면 loc_10005379로 Jump하게 되는데,
lpValueName값을 "WorkTimes" 로 변경해서 호출합니다.
어쨋든, WorkTime 또는 WorkTimes의 값을 얻게 되면
atoi값을 이용하여 int형태로 변경한 뒤 sprintf 함수를 이용하여 지정된 형식대로 문자열을 만듭니다 --> [Robot_WorkTime : %d]
이후 sub_100038EE로 분기하여 sned 함수로 값을 전송합니다.
답 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion에 있는 WorkTime or WorkTimes 레지스트리 값을 전송
Tip. 인자(argument) vs 매개변수(parameter)
알고도 매일 까먹고 구분없이 포스팅하고 있었습니다..
인자값은 함수 호출 시 넣어주는 값을 말합니다 --> Func("argument");
매개변수는 전달된 인자를 받아들이는 값입니다 --> void Func(char* parameter)
------------------------------------------------------------------------------------------------------------------------------------------ 11. PSLIST 익스포트는 무슨 역할은 하는가? ------------------------------------------------------------------------------------------------------------------------------------------ PSLIST는 export window에서 찾을 수 있습니다. 해당 익스포트로 가보면 아래와같은 어셈블리 코드가 나옵니다. 초반에 또다른 서브루틴 sub_100036C3을 호출합니다. 호출 결과에 따라 test eax, eax로 인해 loc_1000705B로 Jump합니다. 즉, 값이 0이라면 앞뒤 볼것도 없이 종료라는 뜻인데, 왜그런지는 살펴봐야 합니다. Tip. 서브루틴 미리보기 이러한 sub문이 나올때마다 넘어가서 이해하고 다시 돌아왔었는데 함수에 마우스를 대고 드래그로 아래를 내리니 sub문이 미리보기 형식으로 나오는 편리한 기능이 있더군요 (+삽질지수 감소) 내용을 보니 GetVersionExA API를 이용하여 얻어낸 구조체 VersionInformation으로 두가지 비교를 수행합니다. 1) dwPlatformId 비교 내용은 문제 9번에서 비교한 내용과 같으며, 윈도우즈 계열 플랫폼인지 확인합니다. 2) dwMajorVersion 비교 dwMajorVersion과 5를 CMP 명령어로 비교합니다. 여기서 dwMajorVersion의 의미를 알고자 MSDN에서 제공하는 표를 가져왔습니다. 운영체제 버전마다 값이 정해져 있고, 가장 낮은 버전이 5입니다. (Windowx Server 2003을 포함한 4개의 운영체제) CMP명령어에 의해 왼쪽값(dwMajorVersion)이 5보다 낮으면 (표에 있는 운영체제보다 더 낮은 버전의 OS일 경우) loc10036FA로 Jump하게 될것이고 더 이상의 연산을 수행하지 않고 leave명령어를 수행합니다. Jump 하지 않는다면, 1을 리턴하고 종료합니다. ----------------------------------------------------------------------------------------------------------------------------- Tip. SUB vs LOC 분석중에 갑자기 의문점을 느껴 검색해보았습니다. SUB와 LOC로 시작하는 함수들의 차이가 무엇인가... 1) 공통점 : 프로그램의 흐름이 바뀐다는 것 2) 차이점 : SUB 호출은 retn값이 있지만 LOC의 경우 retn이 없으므로 ByeBye 참고로 short은 짧은 곳으로의 Jump 라고 합니다. 이런거 하나하나 알아가게 되면서 리버싱 속도가 1~2초라도 빨라지는거 같아 재미있네요 ㅎㅎ; -----------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
12. 그래프 모드를 이용해 sub_10004E79 상호 참조 그래프를 그려보자.
이 함수에 진입하기 위해 호출하는 API함수는 무엇인가?
해당 API 함수에만 기반을 두고 이 함수를 어떤 이름으로 변경하겠는가?
------------------------------------------------------------------------------------------------------------------------------------------
G 기능을 이용하여 sub_10004E79 주소로 넘어갑니다.
문제에 나온대로 상호 참조 그래프를 그리기 위해 [View > Grapgs > Xrefs From] 을 클릭합니다.
그러면 아래와 같은 그래프가 나옵니다.
위 상호참조 그래프 기능으로 인해 sub_10004E79 함수가
GetSystemDefaultLangID와 Send를 호출함을 쉽게 알 수 있습니다.
해당 함수가 네트워크 소켓을 통해 언어 식별자를 전송할 가능성이 있음을 알려주므로,
함수명을 오른쪽 클릭해 send_languageID와 같은 의미 있는 이름을 붙여줍니다.
(책에 나와서 하는거지만...이런게 고수들의 좋은 습관이자 노하우 아닐까요?)
또한 해당 함수를 호출하는 과정을 알아보기 위해
sub_10004E79를 클릭하고 Ctrl+X 를 눌러 호출하는 곳으로 가보았습니다.
"language" 명령어를 이용하여 호출함을 확인합니다.
다음 포스팅에서 계속됩니다!
':: 문제풀이 > Pracical Malware' 카테고리의 다른 글
| Red_Message :: 실전 악성코드와 멀웨어 분석 실습 6-1 분석 (0) | 2016.07.29 |
|---|---|
| Red_Message :: 실전 악성코드와 멀웨어 분석 실습 5-1 분석 #4 (0) | 2016.07.24 |
| Red_Message :: 실전 악성코드와 멀웨어 분석 실습 5-1 분석 #2 (1) | 2016.04.19 |
| Red_Message :: 실전 악성코드와 멀웨어 분석 실습 5-1 분석 #1 (0) | 2016.04.18 |
| Red_Message :: 실전 악성코드와 멀웨어 분석 실습 3-4 분석 (0) | 2016.03.23 |
