쉘코드 분석 방법

한글 악성코드를 분석하다가 외부 접속지에서 파일을 받아 그 파일의 데이터를 바로 메모리 상에서 실행시키는 파워쉘 구문을 확인하였다.

 

확인 결과 다운로드 받은 파일은 쉘코드 였으며, 그 쉘코드를 분석하는 방법을 포스팅하려고한다.

 

1. 우선 올리디버거를 켜고 notepad.exe 파일을 디버거창에 올려놓는다.

2. 오른쪽 클릭 후 [Backup] - [Load backup from file]을 클릭 후! 쉘코드 파일을 연다!

그럼 다음과 같은 오류가 뜰텐데 예(Y) 클릭!

그 후 파일이 로드되면

[HOME] - [Shift + End] - [Alt + Backspace] + [HoME] - [Ctrl + *]

순서대로 클릭!

처음 메모리 주소 부터 끝 메모리 주소까지 올리디버거가 분석해준 정보를 해제하는 후 다시 처음으로가서 EIP 값을 설정해주는 것이다.

 

그럼 아래 그림처럼 쉘코드의 엔트리 포인트로 진입할 수 있게 된다.