선릉역 1번 출구
clop - shellcode 진입 본문
지난 포스팅에서는 clop이 shell code를 복호화하는 것을 보았다.
그럼 복호화한 코드를 실행한다는 것인데 잘 이해가 안가서 flowchart를 작성해보려고 한다.
1. WinMain()
sub_401000()으로 이동한다.
2. sub_401000()
왼쪽은 저번에 복호화를 진행한 부분임
정확하게는 hKernel32이 args이라고 볼 수 있음 shellcode의 파라미터로 넣어줌
3. shellcode 진입
shellcode의 주소는 00001407 -> ollydbg에서 00401407로 이동해보자.
해당 부분에 breakpoint를 걸어놓고 실행시킨뒤 해당 함수로 F7을 사용해서 들어가보자.
009C0000이다. 어디서 많이 본 주소같다. 바로 이전 포스팅에서 복호화한 코드를 작성한 ECX+EAX*4 = 009C0000이다.
내가 복호화 한 코드를 실행하는 것이다!(당연한 말이지만 발견했을 때 너무 행복했음...)
해당 파일을 shellcode.bin파일로 만들었기 때문에 IDA로 열어서 확인해보자.
이 부분이 ollydbg로 열어보면 00900000 + 0236으로 00900236에 해당하는 부분에 같은 값이 존재한다.
mov가 나왔으므로 이 값을 [EBP-B1]한 값에 넣고 있음, 이때 EBP의 값은 0012FADF임 (y = 0x79에 해당하는 값)
여기까지가 clop shellcode진입이다.
'Hacking & Security > Malicious code and Reversing' 카테고리의 다른 글
clop - shellcode 실행 (0) | 2022.07.26 |
---|---|
clop - shellcode 복호화 및 압축 해제 (0) | 2022.07.26 |
clop - binary analysis(복호화 진행하기) (0) | 2022.07.21 |
실행 압축 (0) | 2022.04.07 |
Nag Screen(2) (0) | 2022.03.25 |
Comments