오늘 내가 분석한 악성 코드는  UPX 팩으로 실행압축되고 자체 암호화 모듈로 암호화된 다운로더.

UPX 팩의 어셈블리 패턴에 대해서 얼마전에 배웠기 때문에 실행압축을 푸는 것은 비교적 쉽게 할 수 있었지만 그 이후에 수많은 함수 콜과 스택 관리. 루프. 점프 등등 -_-

아직도 모르는게 너무 많다.
그렇지만 제대로 깨달은 건..
너무 자잘한 함수까지 내부에서 구현하는 부분까지 다 따라가면서
레지스터 값 확인하는 거는 완전 삽질이라는거-

함수 콜하나 루프하나 도는데도 완전 레지스터 값을이 엉망이되고 스택이 어지러운데
그런걸 하나하나 따라가다가는 도저히 감당이 안된다.
전혀 이해할 수가 없다.

결국 파일을 쓴다거나 레지스트리를 수정한다거나 하는 건 GetProcAddress 나 LoadLibray  같은 걸로 이미 얻어온 API  함수를 간접호출 하는 방식으로 이루어지기 때문에
악성 코드가 어떤 목적으로 어떤 상황에서 어떤 API를 호출하는지 그런걸 잘 알아보고
그런 함수들이 호출될 때 함수 파라미터가 어떤게 넘어가는지만 확인하는게 좋다는거
예를 들어 WriteFile의 파라미터가 뭔지만 알면 어떤 파일을 생성하는지 바로 알 수 있으니까..

Call 이나 Retrun 부분에만 브레이크 포인트를 걸고 체크 체크 하는게 훨씬 깔끔하다.
주요 증상만 판단하자.
너무 초반부터 깊이 파도 낭패본다 -_-

---------

게다가 결국 내가 오늘 본 파일은 다운로더를 다운받는 다운로더.
내용 자체는 그렇게 어렵지 않지만 손이 많이 가는 녀석이었고 실행 과정은 실행 압축 및 암호화로 완전 꼬여있어서 잘안보였다.

게다가 Anti Virus 프로그램 및 시스템 상태 분석 도구들을 강제로 프로세스 킬하는 기능까지 있어서
무쟈게 고생 -_-;

이상철 선임님이 오늘부터 휴가가시면서 업무 인수인계하실 때 인턴들한테 분석 좀 틈틈히 시키라고 하시고 가셨는데 (다른 정팀원들은 아직 인턴을 잘 안믿으신다) 오늘은 네명 다 고생고생,
결국 엔진 배포 때까지 분석 못한 사람은 인턴 네명 뿐..;
그래서 정말 마음이 안좋았다.
내일 가서 완전 복습하고 박살 낼꺼다. 쳇쳇..