GetPrivateProfileStringA라는 함수가 악성 코드 분석 중 확인되어 찾아보았다.
1) 함수원형
2) GetPRivateProfileStringA는 아래의 그림과 같이 ini 구성 설정에 관련한 함수라고 한다.
3) 분석한 악성코드에서 아래와 같이 사용되게 되는데 version361.dat 파일에는 파일 버전에 대한 내용이 담겨져 있다.
- 이 의미는 Temp\version361.dat 파일에서 [data] 섹션의 versionname Key가 가진 값을 파싱해서 Return Buffer에 BufSize 만큼 넣으며 만약에 파싱이 되지 않을 경우 Return Buffer에 button02.jpg 라는 기본 문자열을 넣는다.
4) 아래는 테스트 코드 이다.
- 대상 test.ini 내용은 아래와 같다.
- 결과는 아래와 같이 babo라는 문자열을 data에 넣어서 출력한다.
5) 해당 API는 악성 코드가 자신의 버전 정보 혹은 기타 문자열을 특별히 파싱해서 사용될 때, 사용할 수 있는 API로 보인다.
6) 실제 exe 파일을 OllyDbg로 열어보면 아래와 같이 함수 원형대로 인자 값이 넘어가는 것을 확인할 수 있다.
