WEBVTT 00:00.560 --> 00:01.900 안녕하세요, 다시 오신 것을 환영합니다. 00:01.910 --> 00:08.270 이 비디오에서는 몇 가지 중단점을 설정하고 실행을 허용한 후 자체적으로 해독하도록 00:08.270 --> 00:15.050 하여 리소스 내부에 무엇이 있는지 확인하기 위해 계속해서 해독을 시도해 보겠습니다. 00:15.050 --> 00:20.170 그런 다음 해독된 메모리를 별도의 파일에 덤프하여 분석합니다. 00:20.180 --> 00:23.810 이것이 우리가 이전에 했던 트릭이며 여기에서도 이 트릭을 사용할 것입니다. 00:24.080 --> 00:31.580 먼저 여기에 중단점 하나, 여기에 중단점 하나, 두 번째 중단점은 여기에 설정할 것입니다. 00:31.790 --> 00:41.810 알겠습니다. 따라서 암호 해독을 클릭하고 여기에 중단점을 설정합니다. RsmDecrypt는 리소스에 있는 모든 내용을 00:41.810 --> 00:44.300 해독한 다음 Array2로 복사하기 때문입니다. 00:44.540 --> 00:47.870 따라서 이 Array2를 메모리에 캡처하여 덤프하고 싶습니다. 00:48.830 --> 00:51.290 자, 이제 시작하겠습니다. 00:51.530 --> 00:53.240 이제 실행해 보겠습니다. 00:55.070 --> 00:55.250 확인을 00:55.250 --> 00:55.850 클릭합니다. 00:57.640 --> 00:57.760 확인을 00:57.820 --> 00:58.390 클릭합니다. 00:58.520 --> 00:59.230 예를 클릭합니다. 01:00.700 --> 01:01.050 알겠습니다. 01:01.110 --> 01:02.680 첫 번째 중단점에 도달했습니다. 01:02.710 --> 01:03.730 계속 진행하세요. 01:04.060 --> 01:06.910 이 텍스트가 여기에 표시됩니다. 01:06.940 --> 01:07.760 무엇이 있나요? 01:07.870 --> 01:08.310 실행. 01:08.500 --> 01:10.630 한 걸음 다가가서 텍스트를 확인합니다. 01:10.630 --> 01:13.240 프로그램 데이터\메일입니다. txt. 01:13.510 --> 01:18.010 이 파일은 동적 분석을 수행했을 때 초기에 본 파일입니다. 01:18.370 --> 01:19.870 자, 계속 넘어가 보겠습니다. 01:20.680 --> 01:22.540 이제 넘어가 보겠습니다. 01:23.470 --> 01:23.950 알겠습니다. 01:23.950 --> 01:24.940 결과를 반환합니다. 01:26.010 --> 01:26.940 자, 시작합시다. 01:27.540 --> 01:29.880 이제 암호 해독에 성공했습니다. 01:30.030 --> 01:31.440 그리고 여기, 이쪽으로 01:32.590 --> 01:33.940 가보겠습니다. 01:37.050 --> 01:37.320 알겠습니다. 01:37.350 --> 01:39.360 이제 Array2를 반환합니다. 01:39.840 --> 01:44.040 이제 아래로 내려가서 Array2가 무엇인지 살펴보겠습니다. 01:45.160 --> 01:46.720 자, Array2가 여기 있습니다. 01:46.720 --> 01:49.090 마우스 오른쪽 버튼으로 클릭하여 볼 수 있습니다. 01:49.690 --> 01:51.310 메모리 창에 표시합니다. 01:51.340 --> 01:52.180 메모리 1. 01:53.830 --> 02:02.620 여기에서 헤더의 시작 부분인 매직 바이트 "MZ"와 "이 프로그램은 DOS 모드에서 실행할 수 없습니다"라는 문자열이 02:02.620 --> 02:03.310 있는 것을 02:03.310 --> 02:05.310 볼 수 있습니다. 따라서 이 두 02:05.320 --> 02:08.590 개는 . exe 파일을 만듭니다. 02:08.980 --> 02:14.290 그래서 리소스 섹션의 암호를 해독했고 이제 그 내용을 볼 수 있습니다. 02:14.410 --> 02:22.030 이제 이 메모리를 별도의 파일에 덤프하면 됩니다. 여기를 마우스 오른쪽 버튼으로 클릭하고 선택 항목 저장을 클릭합니다. 02:22.970 --> 02:27.980 그리고 여기에 덤프로 저장할 수 있습니다. bin. 02:28.460 --> 02:29.120 저장을 클릭합니다. 02:29.390 --> 02:37.700 이제 덤프를 저장했습니다. bin을 중지하고 PE Studio를 사용하여 이 항목을 분석할 02:37.730 --> 02:38.810 수 있습니다. 02:38.810 --> 02:40.790 이제 체육관 스튜디오를 열어보겠습니다. 02:41.390 --> 02:43.670 유틸리티 아래의 PE Studio. 02:46.210 --> 02:46.790 여기 있습니다. 02:46.810 --> 02:47.950 두 번 클릭하기만 하면 됩니다. 02:48.700 --> 02:50.440 이제 PE 스튜디오에서 02:51.270 --> 02:53.400 덤프를 열어 보겠습니다. 02:55.550 --> 02:57.080 그리고 분석하게 하세요. 02:57.590 --> 03:04.130 이제 리소스 섹션에서 이미 해독한 이 실행 파일에 WebBrowserPassView라는 03:04.460 --> 03:08.420 설명이 있는 것을 볼 수 있습니다. 03:08.840 --> 03:16.220 여기서 이걸 클릭하면 이 제품의 이름은 WebBrowserPassView, 회사명은 NirSoft라는 03:16.220 --> 03:18.020 것을 알 수 있습니다. 03:18.020 --> 03:25.400 따라서 멀웨어 작성자는 웹 브라우저 비밀번호 탈취기를 직접 만들지 않은 것으로 보입니다. 03:25.400 --> 03:32.270 대신 NirSoft에서 상용으로 제공되는 비밀번호 복구 프로그램을 03:32.270 --> 03:37.670 사용한 다음 . exe 파일을 암호화한 후 리소스 섹션에 포함시켰습니다. 03:37.970 --> 03:51.380 따라서 디버깅 및 중단점 설정과 메모리 덤핑 기능을 갖춘 dnSpy를 사용하여 임베디드 파일의 암호화를 무력화하는 03:51.380 --> 03:54.560 방법도 이와 같습니다. 03:55.470 --> 03:58.740 이제 그만하면 되겠군요. 03:59.250 --> 04:07.950 다음으로 보여드리고 싶은 것은 방금 살펴본 이 모듈의 난독화를 해제하는 방법입니다. 04:08.220 --> 04:13.920 따라서 여기서 이 클래스의 난독화를 해제하기 위해 de4dot이라는 것을 사용할 수 있습니다. 04:14.190 --> 04:16.500 이제 이 글을 닫겠습니다. 04:17.250 --> 04:19.170 이제 파일 경로로 이동해 보겠습니다. 04:19.500 --> 04:26.960 이 파일의 난독화를 해제하고 싶으므로 경로 복사를 선택합니다. 04:27.260 --> 04:28.600 명령, 명령 프롬프트를 04:28.610 --> 04:29.600 엽니다. 04:30.080 --> 04:33.140 de4dot은 명령줄 도구이기 때문입니다. 04:35.090 --> 04:40.640 그런 다음 여기에서 트로이 목마가 포함된 이 경로로 이동합니다. 04:41.030 --> 04:43.100 "dir"을 실행하여 파일이 있는지 확인합니다. 04:43.370 --> 04:49.190 그런 다음 "de4dot"을 입력한 다음 트로이 목마 이름을 입력합니다. 04:49.400 --> 04:54.050 Enter 키를 누르고 난독 해독을 실행합니다. 04:54.740 --> 04:57.260 알 수 없는 난독화기를 감지하여 여기에 04:57.620 --> 05:03.230 ""라는 별도의 파일로 정리했습니다. 악성코드 제거". 05:03.500 --> 05:08.540 자, 이제 이 "을 열 수 있습니다. 악성코드가 제거된" dnSpy 내부. 05:09.740 --> 05:12.920 정리된 파일을 드래그하여 여기에 넣으면 05:14.290 --> 05:15.220 이제 파일을 05:15.640 --> 05:17.890 열고 살펴볼 수 있습니다. 05:23.620 --> 05:30.220 이전에는 이 파일에 있던 난독화 해제된 GClass0이라는 새 파일이 있습니다. 05:30.270 --> 05:37.870 이렇게 하면 난독화된 클래스의 모든 부분을 해독할 수 있습니다. 암호 해독이 해제되었으므로 이 강좌에서 05:37.990 --> 05:45.640 알려드린 기술을 사용하여 dnSpy를 사용하여 분석할 수 있습니다. 05:45.640 --> 05:50.110 이번 실습은 여기까지입니다. 05:50.230 --> 05:51.880 시청해 주셔서 감사합니다.