clop - shellcode 진입

지난 포스팅에서는 clop이 shell code를 복호화하는 것을 보았다.

 

그럼 복호화한 코드를 실행한다는 것인데 잘 이해가 안가서 flowchart를 작성해보려고 한다.

 

1. WinMain()

sub_401000()으로 이동한다.

 

2. sub_401000()

왼쪽은 저번에 복호화를 진행한 부분임

 

정확하게는 hKernel32이 args이라고 볼 수 있음 shellcode의 파라미터로 넣어줌

 

3. shellcode 진입

shellcode의 주소는 00001407 -> ollydbg에서 00401407로 이동해보자.

 

해당 부분에 breakpoint를 걸어놓고 실행시킨뒤 해당 함수로 F7을 사용해서 들어가보자.

 

009C0000이다. 어디서 많이 본 주소같다. 바로 이전 포스팅에서 복호화한 코드를 작성한  ECX+EAX*4 = 009C0000이다.

 

내가 복호화 한 코드를 실행하는 것이다!(당연한 말이지만 발견했을 때 너무 행복했음...)

 

해당 파일을 shellcode.bin파일로 만들었기 때문에 IDA로 열어서 확인해보자.

이 부분이 ollydbg로 열어보면 00900000 + 0236으로 00900236에 해당하는 부분에 같은 값이 존재한다.

 

mov가 나왔으므로 이 값을 [EBP-B1]한 값에 넣고 있음, 이때 EBP의 값은 0012FADF임 (y = 0x79에 해당하는 값)

 

여기까지가 clop shellcode진입이다.