clop - shellcode 복호화 및 압축 해제

저번에 복호화 한 shellcode를 실행하는 도중 또 shellcode안 어떤 부분을 decode하고 압축 해제하는 부분이 있는 것 같다.

 

ollydbg로 실행해보자.

 

v115에 값을 넣어주고 있는데 그부분이 EBP-40이다.

 

dump로 EBP-40으로 가니 009D0000주소가 리틀엔디언으로 들어가 있다.

 

그럼 이 부분이 끝나면 009D0000에 복호화된 코드가 있을 것이다.

279줄에 해당하는 sub_9C1270전까지 실행해보자.

 

009C046A에는 코드와 같은 ROL이 존재한다.

 

압축을 해제하는 코드 시작이 009C04B1이엇서 4B0까지 실행한 결과 009D0000에 복호화 된 내용이 써져있다.

sub_9C1270도 압축 해제이기 때문에 압축 해제한 파일을 어디에 작성할 것이다. 어디에 작성하는 지 찾아보자. 먼저 009C04B1의 함수 내부로 들어간다.

 

함수의 첫 번째 인자가 a1인데 이걸 v4에 할당하고 있다. 해당 함수로 가보니 a1이 EAX로 값은 009F0000의 값이다. 해당 함수가 끝나면 009F0000에 압축 해제한 값을 작성할 것 같다.

 

함수 바로 뒤 명령문까지 F4눌러서 실행시키면 009F0000에 값이 새롭게 작성된 것을 확인할 수 있다.