최근 악성코드 하나를 분석하다가 이 악성코드가 레지스트리를 수정한다는 것을 알게 되었다.

이 악성코드는 'SOFTWARE\Microsoft\Windows\CurrentVersion~' 이후 부분을 수정하고 있었는데, 디버깅 이후 아무리 찾아봐도 코드가 정상적으로 실행되었는데도 레지스트리가 생성되지 않았다. 처음엔 관리자 권한을 주지 않아서 그런 줄 알았으나 권한을 부여해도 마찬가지였다. 이상하다고 생각해서 Ctrl + F로 찾아봤더니 다른 경로에 해당 값이 들어있었다.


[디버깅 당시의 레지스트리]


 디버깅 당시에는 위와 같은 경로였으나



[실제 변경된 레지스트리]


 실제 변경된 레지스트리의 경로는 위와 같았다.

이는 Vista 이상 64비트 Windows에서 32비트 프로그램의 호환성을 맞춰주기 위해 자동으로 Redirect하기 때문이다. 여기에 잘 정리된 글이 있으므로 링크를 남겨두겠다. 이와 비슷한 증상이 후킹을 할 때도 나타나는데, 32비트 notepad를 목표로 작성한 후킹 코드는 64비트 Windows에서는 SysWOW64 내부의 notepad.exe를 실행시켜야 한다.


http://coinz.tistory.com/581

'Reversing' 카테고리의 다른 글

IDA에서 타입 추가 로드하기  (0) 2018.09.21
IsDebuggerPresent와 바이너리 패치  (0) 2017.05.24
[ARM] Reversing.kr HateIntel 분석  (0) 2016.04.22
[ARM] 간단한 프로그램 분석  (0) 2016.04.22
[ARM] Hello World 분석  (1) 2016.04.22
블로그 이미지

__미니__

E-mail : skyclad0x7b7@gmail.com 나와 계약해서 슈퍼 하-카가 되어 주지 않을래?

,