분류 전체보기
- 콘 드리블 연습 2 2014.07.18
- 뮌헨 콘드리블 영상1 2014.07.18
- GetPrivateProfileStringA 2014.07.16
- SetWindowsHook 관련 exe, dll 2014.07.14
콘 드리블 연습 2
2014. 7. 18. 08:56
뮌헨 콘드리블 영상1
2014. 7. 18. 08:49
GetPrivateProfileStringA
2014. 7. 16. 10:39
GetPrivateProfileStringA라는 함수가 악성 코드 분석 중 확인되어 찾아보았다.
1) 함수원형
2) GetPRivateProfileStringA는 아래의 그림과 같이 ini 구성 설정에 관련한 함수라고 한다.
3) 분석한 악성코드에서 아래와 같이 사용되게 되는데 version361.dat 파일에는 파일 버전에 대한 내용이 담겨져 있다.
- 이 의미는 Temp\version361.dat 파일에서 [data] 섹션의 versionname Key가 가진 값을 파싱해서 Return Buffer에 BufSize 만큼 넣으며 만약에 파싱이 되지 않을 경우 Return Buffer에 button02.jpg 라는 기본 문자열을 넣는다.
4) 아래는 테스트 코드 이다.
- 대상 test.ini 내용은 아래와 같다.
- 결과는 아래와 같이 babo라는 문자열을 data에 넣어서 출력한다.
5) 해당 API는 악성 코드가 자신의 버전 정보 혹은 기타 문자열을 특별히 파싱해서 사용될 때, 사용할 수 있는 API로 보인다.
6) 실제 exe 파일을 OllyDbg로 열어보면 아래와 같이 함수 원형대로 인자 값이 넘어가는 것을 확인할 수 있다.
SetWindowsHook 관련 exe, dll
2014. 7. 14. 23:46
hook2.exe
hook2.cpp
keyhook.dll