WEBVTT

00:00.680 --> 00:02.630
이제 포장을 다 풀었습니다.

00:02.630 --> 00:07.940
이를 파일로 덤프할 수 있으므로 Process Hacker를 사용하여 이를 수행할 수 있습니다.

00:08.120 --> 00:17.180
이제 프로세스 해커를 열어 보겠습니다. FLARE로 이동하여 여기 유틸리티 아래에서 프로세스 해커를 찾습니다.

00:18.200 --> 00:20.720
여기에서 예를 클릭합니다.

00:21.980 --> 00:27.080
이모티콘을 열고 이 이모티콘을 찾습니다.

00:28.230 --> 00:28.760
여기.

00:28.830 --> 00:29.730
여기 있습니다.

00:29.730 --> 00:31.280
이모티콘을 두 번 클릭하세요.

00:32.820 --> 00:36.870
그런 다음 메모리 탭을 열고 이 주소를 찾습니다.

00:37.050 --> 00:39.840
3D 뒤에 0이 네 개 있습니다.

00:41.740 --> 00:46.060
3D 뒤에 0을 네 번 입력하면 권한이 표시됩니다.

00:46.060 --> 00:48.640
읽기, 쓰기, 실행 파일입니다.

00:51.410 --> 00:52.780
이 부분을 더블클릭하면

00:54.230 --> 00:58.340
여기에 표시된 것과 동일한 IMG 헤더가 표시됩니다.

00:59.390 --> 00:59.750
알겠습니다.

00:59.750 --> 01:02.510
따라서 여기가 올바른 덤프 장소임을 확인합니다.

01:02.690 --> 01:05.240
따라서 덤프하려면 이 항목을 선택하고 왼쪽 클릭한

01:05.240 --> 01:07.970
다음 마우스 오른쪽 버튼을 클릭하고 저장합니다.

01:09.820 --> 01:15.220
그런 다음 멀웨어, 멀웨어 과정의 폴더에 덤프합니다.

01:15.700 --> 01:17.590
IDA를 닫을 수 있습니다.

01:17.620 --> 01:20.230
이제 더 이상 IDA가 필요하지 않습니다.

01:21.400 --> 01:22.120
저장하지 마세요.

01:23.380 --> 01:26.380
그런 다음 여기에 이름을 지정할 수 있습니다.

01:27.790 --> 01:29.830
Emotet_Dump라고 부를 수 있습니다.

01:32.440 --> 01:34.360
그런 다음 저장을 클릭합니다.

01:38.690 --> 01:44.780
이제 이 모든 것을 닫을 수 있지만, 이것이 기본 주소이므로 주소를 기억해 두시기

01:44.780 --> 01:45.980
바랍니다.

01:46.100 --> 01:48.020
3D 뒤에 0이 네 개 있습니다.

01:48.710 --> 01:50.510
이제 파일 이름을 변경해 보겠습니다.

01:51.590 --> 01:53.510
기본 주소를 뒤에 적어두면

01:53.510 --> 01:54.410
잊지 않고 기억할

01:54.470 --> 01:55.850
수 있습니다.

01:56.570 --> 01:58.670
따라서 여기를 마우스 오른쪽 버튼으로 클릭하고 이름을 변경합니다.

02:00.310 --> 02:13.080
그리고 여기 뒤쪽에 기본 주소인 3D와 그 뒤에 0을 네 번 입력합니다.

02:13.150 --> 02:16.480
3D, 1, 2, 3, 4 0.

02:20.640 --> 02:20.970
알겠습니다.

02:20.970 --> 02:22.710
이제 모든 것을 닫을 수 있습니다.

02:23.310 --> 02:24.420
닫습니다.

02:25.290 --> 02:26.280
닫습니다.

02:26.880 --> 02:29.140
그리고 여기서 헤더와

02:31.560 --> 02:39.090
섹션 헤더를 수정하고 매핑을 해제할 수도 있습니다.

02:39.690 --> 02:43.320
이전 단원에서 이미 매핑 해제 기법을 보여드렸으므로

02:43.320 --> 02:44.970
기법은 동일합니다.

02:46.050 --> 02:48.960
그래서 저희는 PEBear를 사용합니다.

02:49.080 --> 02:51.030
그래서 PEBear로 이동합니다.

02:52.080 --> 02:53.760
이 피베어를 엽니다.

02:55.960 --> 02:58.600
어떤 일을 하기 전에 이 내용을 복사해 두세요.

02:59.020 --> 03:01.420
백업으로 복사하여 여기에 붙여넣습니다.

03:01.600 --> 03:04.200
그런 다음 이를 사용하여 PEBear에서 엽니다.

03:06.180 --> 03:10.280
이제 섹션 헤더의 매핑을 해제해야 한다는

03:10.280 --> 03:14.210
점을 제외하면 모든 것이 정상입니다.

03:17.010 --> 03:21.990
따라서 매핑을 해제하려면 원시 주소와 가상 주소가 동일해야 합니다.

03:23.910 --> 03:25.380
이제 이 문제를 해결해 보겠습니다.

03:32.370 --> 03:36.690
그 뒤에 0이 세 개 있어야 합니다.

03:38.110 --> 03:38.310
이것은

03:40.010 --> 03:42.680
- 뒤에 0이 세 개 있어야 합니다.

03:46.200 --> 03:49.320
마지막 숫자는 13 뒤에 0이 3개 있어야 합니다.

03:52.270 --> 03:56.260
자, 이제 데이터를 제외한 모든 것이 정확합니다.

03:56.500 --> 04:00.790
하지만 어쨌든 정확한지 확인하기 위해 계산을 해보겠습니다.

04:01.510 --> 04:04.780
이제 프로그래머 계산기를 열어 보겠습니다.

04:05.260 --> 04:06.820
이제 원시 크기가 올바른지

04:07.840 --> 04:09.490
계산해 보겠습니다.

04:10.360 --> 04:11.790
이것은 쉽습니다.

04:11.830 --> 04:12.860
0 세 개.

04:12.880 --> 04:14.800
따라서 16진수 입력으로 설정합니다.

04:17.660 --> 04:24.000
0 세 개에서 0 세 개를 빼면 원시 크기를 얻을 수 있습니다.

04:24.570 --> 04:30.660
따라서 0에서 1000을 뺀 세 개의 0은 D30이

04:32.520 --> 04:34.940
됩니다.

04:34.950 --> 04:38.070
따라서 이것은 D 뒤에 0이 세 개 있어야 합니다.

04:38.700 --> 04:45.270
다음은 0에서 3을 뺀 값으로, 0이 3개이면 1000이 됩니다.

04:55.570 --> 04:56.050
여기까지입니다.

04:56.050 --> 04:57.730
따라서 1000이 되어야 합니다.

05:00.810 --> 05:03.670
이 값은 0에서 3을 뺀 13이

05:04.050 --> 05:06.450
되어야 합니다.

05:08.880 --> 05:09.930
따라서 0에서

05:11.760 --> 05:15.570
3을 뺀 13은 0이 3개입니다.

05:17.980 --> 05:21.940
마이너스 - 0이 3개입니다.

05:22.810 --> 05:24.340
그러면 4000이 나옵니다.

05:24.340 --> 05:25.930
따라서 4000이 되어야 합니다.

05:27.460 --> 05:29.650
이것이 매핑을 해제하는 첫 번째 단계입니다.

05:30.340 --> 05:37.540
언매핑의 두 번째 단계는 원시 크기를 원시 크기와 동일하게 만드는 것입니다. 즉, 가상 크기를 원시 크기와 동일하게 만드는

05:37.540 --> 05:38.350
것입니다.

05:38.380 --> 05:42.460
따라서 이것은 0 세 개 뒤에 오는 D로 바뀌어야 합니다.

05:45.830 --> 05:47.750
이 값은 1000이어야 하므로 변경해

05:47.780 --> 05:48.980
보겠습니다.

05:51.320 --> 05:53.120
이것은 4000이어야 합니다.

05:56.960 --> 05:58.970
그리고 이것은 600이어야 합니다.

06:02.350 --> 06:03.730
자, 이제 끝났습니다.

06:04.060 --> 06:09.010
다음으로 할 일은 선택적 헤더를 여는 것입니다.

06:09.010 --> 06:17.080
이제 매핑을 해제했습니다. 선택적 헤더를 연 다음 기본 주소를 수정해야 합니다.

06:17.410 --> 06:19.150
기본 주소를 수정해야 합니다.

06:19.150 --> 06:22.330
따라서 이 기본 주소는 우리가 덤프한 주소입니다.

06:24.040 --> 06:29.510
그래서 파일 이름에서 덤프했습니다.

06:31.640 --> 06:33.050
파일 이름을 보세요.

06:33.380 --> 06:35.750
3D 뒤에 0이 네 개 있습니다.

06:36.290 --> 06:43.100
따라서 이것을 3D에 0을 네 개 붙인 값으로 입력합니다.

06:45.760 --> 06:49.720
3D, 거기에 0이 4개 있습니다.

06:49.800 --> 06:52.150
이미지 뒤에 4개의 0이 있는 3D입니다.

06:55.810 --> 06:56.590
네, 맞습니다.

06:56.950 --> 06:58.450
이제 버릴 수 있습니다.

06:58.780 --> 07:02.860
마우스 오른쪽 버튼을 클릭하고 다른 이름으로 실행 파일을 저장합니다.

07:05.630 --> 07:07.310
그런 다음 이모티콘 밑줄 언맵이라고

07:12.470 --> 07:13.820
부를 수 있습니다.

07:16.220 --> 07:18.110
Emotet_Dump_Unmap.

07:19.100 --> 07:19.790
저장.

07:23.610 --> 07:25.500
이제 모든 것을 닫으면 매핑되지

07:25.710 --> 07:27.510
않은 파일이 생깁니다.

07:30.330 --> 07:35.070
이제 원한다면 IDA를 통해 더 자세히 분석할 수 있습니다.

07:41.040 --> 07:42.810
그래서 파일을 엽니다.

07:46.460 --> 07:51.920
IDA가 분석을 수행하면 파일을 읽을 수 있도록 관리됩니다.

07:53.000 --> 07:53.390
알겠습니다.

07:53.390 --> 07:55.490
그래서 이미 매핑을 해제했습니다.

07:56.450 --> 07:59.390
이모텟의 포장은 이미 끝냈습니다.

07:59.870 --> 08:02.520
이 영상은 여기까지입니다.

08:02.540 --> 08:04.040
시청해 주셔서 감사합니다.