NOTICE


 오늘은 Shell Code를 .exe 파일로 만들어서 분석하는 방법에 대해 알아보겠습니다.


 보통 악성스크립트는 Malzilla.exe를 많이 사용하는데 Converter.exe와 OllyDBG.exe를 사용해 쉽게 분석할 수 있는 방법이 있어서 소개해드립니다. 분석에 사용한 분석 도구 정보는 다음과 같습니다.


 - 분석 Tool 정보

 파일 이름

파일 이름

Notepad++.exe

 Converter.exe

OllyDBG.exe

 



1. Shell Code를 Hex 값으로 수정하기


 샘플 파일을 Notepad++.exe로 오픈하면 아래 [그림 1.1.]과 같이 쉘코드로 보이는 문자열들을 확인할 수 있습니다. 이 문자열들을 Hex 값으로 수정할 것입니다. 문자열들을 따로 복사합니다. 


[그림 1.1.] 샘플파일 코드 확인


 복사한 문자열을 Converter.exe의 Input 공간에 붙여넣고 'UCS2 to Hex' 버튼을 눌러서 Hex 값으로 변환합니다.


[그림 1.2.] Shellcode를 Hex 값으로 변환


아래 [그림 1.3.]은 Hex로 변환된 값입니다.


[그림 1.3.] Hex Code 확인



2. Hex Code를 .exe 파일로 변환하기


 이제 Hex Code를 .exe 파일로 만들겠습니다. 아래 Shellcode 2 exe 사이트는 자동으로 .exe 파일을 만들어줍니다.



 사이트에 접속하면 아래와 같은 화면이 나타날 것 입니다. 텍스트 공간에 Hex Code를 넣고 'submit' 버튼을 누르면 완성된 .exe 파일을 받을 수 있습니다.


[그림 2.1.] Hex Code를 .exe 파일로 만들기


 아래 [그림 2.2.]은 다운로드 받은 .exe 파일입니다.


[그림 2.2.] shellcode.exe_ 파일 확인



3. .exe 파일 OllyDBG.exe로 분석하기


 이제 OllyDBG.exe로 shellcode.exe_를 분석합니다. 


[그림 3.1.] shellcode.exe_ EntryPoint


0x0040101A 주소에서 EAX에 저장된 값을 1 Byte씩 읽어와서 0xBD로 XOR 연산합니다. 특정 데이터를 복호화하는 과정으로 모든 값의 XOR 연산이 완료될 때까지 반복됩니다.


[그림 3.2.] 데이터 복호화 과정


 그리고 복오화 과정이 완료되면 원하는 주소 값을 얻을 수 있습니다. 


[그림 3.3.] 복호화 완료 – URL 확인


 이상으로 'Shell Code를 .exe 파일로 만들어서 분석하기' 포스트를 마치겠습니다.


  1. no picture 궁금이 2015.08.14 00:27

    안녕하세요, converter.exe 파일 굉장히 유용해보이는데요.
    converter.exe 파일 구할 수 있을까요?
    자료실이 어딨는지 모르겠네요ㅠ
    인터넷 찾아봐도 못찾겠고요...
    찾아주시면 감사하겠습니다^^

  2. no picture 2015.08.26 08:53

    비밀댓글입니다

  3. no picture BlogIcon gambo 2016.03.17 17:26 신고

    많은 도움을 받고 있습니다 감사합니다.

  4. no picture 김우* 2016.12.14 16:55

    converter.exe 파일 혹시 구할수 있을까요 ㅠㅠ