반응형
문제는 악성코드를 실행하여 추가 감염을 일으키는 함수의 주소를 원하고 있다.
문제를 받아서 열어보면,
많은 양의 그래프와 분기가 있는데, 위에서 부터 천천히 살펴보면...
중간에 ShellExcuteExA를 호출하는 함수 2개를 볼 수 있다.
아래의 ShellExecuteExA는 위의 호출을 실패 하였을 때 다시 시도하는 것이기 때문에 최초로 시도하는 함수의 주소는 위의 주소이다.
ShellExcuteExA함수는 특정 프로세스를 실행시키는 함수이다.
아래에는 "a_exe" 라는 것을 복사하는 것으로 봐서 특정 프로세스에 코드 인젝션을 하는 것으로 추측된다.
첫번째의 함수 주소를 입력하였더니 정답이 되었다.
반응형
'Reversing 문제 풀이 > CodeEngn.com_Malware' 카테고리의 다른 글
| codeengn-malware-L06 풀이 (Thread Mutex) (0) | 2022.06.14 |
|---|---|
| codeengn-malware-L07 풀이 (0) | 2022.06.13 |
최근댓글