WEBVTT 00:00.810 --> 00:07.290 자, 이제 메모리에서 메모리에 덤프하겠습니다. 00:07.440 --> 00:12.430 주소가 제 주소와 다를 수 있으므로 그에 따라 주소를 따르시면 됩니다. 00:12.450 --> 00:17.460 따라서 이 파일을 메모리에서 덤프하기 위해 Process Hacker를 사용합니다. 00:18.480 --> 00:25.950 따라서 플래시 유틸리티 폴더에서 프로세스 해커로 이동하여 프로세스 해커를 엽니다. 00:27.930 --> 00:33.670 예를 클릭한 다음 메모리에서 Hancitor를 찾습니다. 00:33.690 --> 00:34.560 여기 있습니다. 00:34.710 --> 00:41.190 따라서 해당 주소를 두 번 클릭한 다음 메모리 탭으로 이동하여 이 주소를 찾습니다. 00:41.640 --> 00:43.980 1C 뒤에 0이 네 개 있습니다. 00:47.010 --> 00:58.020 여기에서 1C 뒤에 0이 네 개 있는 것을 찾으면 권한 비트가 읽기, 쓰기, 실행 가능한 것을 확인할 수 있습니다. 00:58.020 --> 00:59.460 그래서 이것이 틀림없습니다. 01:00.150 --> 01:08.100 이 파일을 확장하고 더블 클릭하면 실행 파일이 메모리에 압축이 풀린 것을 볼 수 있으며, 이 파일이 바로 여기 01:08.220 --> 01:11.190 아래에 있는 것과 동일한 파일입니다. 01:11.310 --> 01:12.630 이제 이걸 버릴 수 있습니다. 01:12.630 --> 01:21.990 이제 이것을 클릭하고 마우스 오른쪽 버튼을 클릭한 다음 저장한 다음 데스크톱 멀웨어 코드 01:22.290 --> 01:33.510 샘플 폴더로 이동하여 확장자 뒤에 접미사 0x1C와 0, 1, 2, 3, 4의 네 개의 0을 붙여 이 주소에서 01:33.510 --> 01:36.030 덤프되었음을 기억할 수 01:36.030 --> 01:39.720 있도록 덤프할 것입니다. 01:39.720 --> 01:46.480 또한 PE Bear 내부에서 이미지 베이스를 설정하려면 이 주소가 필요합니다. 01:48.420 --> 01:49.770 저장을 클릭합니다. 01:51.410 --> 01:52.820 이제 닫기를 클릭합니다. 01:53.480 --> 01:56.960 이제 핸시터 자체를 막을 수 있습니다. 01:57.260 --> 01:59.480 닫으려면 X를 클릭합니다. 02:01.500 --> 02:06.430 이제 PE Bear에서 매핑을 해제하겠습니다. 02:06.510 --> 02:07.650 모든 것이 죽었습니다. 02:08.460 --> 02:12.180 닫기를 클릭하면 이제 다음을 사용하여 이 파일의 매핑을 해제할 수 있습니다. 02:13.710 --> 02:15.240 그래서 PE Bear를 열었습니다. 02:18.070 --> 02:21.250 그런 다음 덤프 파일을 삭제합니다. 02:22.390 --> 02:27.100 어떤 일을 하기 전에 복사본을 만들어두세요. 02:27.520 --> 02:29.500 그리고 이제 이걸 버리세요. 02:29.530 --> 02:31.240 PE Bear에서 이 파일을 엽니다. 02:32.900 --> 02:37.190 이제 섹션 헤더를 수정하겠습니다. 02:37.640 --> 02:42.170 가져오기를 보면 가져오기 주소 테이블이 모두 엉망입니다. 02:42.260 --> 02:46.610 따라서 섹션 헤더를 수정하여 이 문제를 해결해야 합니다. 02:47.090 --> 02:55.790 따라서 가장 먼저 해야 할 일은 원시 주소를 가상 주소와 동일한 값으로 설정하는 것입니다. 02:55.970 --> 02:58.130 그래서 이것은 1000으로, 이것은 02:58.160 --> 02:59.870 4000으로, 이것은 5000으로, 02:59.900 --> 03:03.140 이것은 8000으로 변경합니다. 03:03.230 --> 03:04.640 지금 바로 시작하세요. 03:11.170 --> 03:12.040 1000. 03:13.330 --> 03:14.590 5000. 03:14.980 --> 03:17.260 이 프로세스를 매핑 해제라고 합니다. 03:19.840 --> 03:21.250 따라서 정확한지 확인하세요. 03:21.280 --> 03:23.650 1458, 1458. 03:23.800 --> 03:29.680 다음으로 원시 주소를 기반으로 계산하여 원시 크기를 수정해야 합니다. 03:29.770 --> 03:35.470 따라서 여기서 첫 번째 원시 크기는 4000에서 1000을 빼서 계산합니다. 03:35.500 --> 03:37.420 따라서 3000을 얻어야 합니다. 03:39.610 --> 03:44.380 두 번째 원시 크기는 5000에서 4000을 빼서 계산합니다. 03:44.410 --> 03:46.570 따라서 1000이 되어야 합니다. 03:49.390 --> 03:53.960 이제 이 원시 크기는 8000에서 5000을 뺀 값으로 계산됩니다. 03:53.980 --> 03:56.110 따라서 3000이 되어야 합니다. 03:58.060 --> 04:00.640 마지막으로, 그냥 놔둬도 됩니다. 04:00.760 --> 04:03.220 섹션. 04:03.220 --> 04:04.690 그냥 무시해도 됩니다. 04:05.020 --> 04:07.720 따라서 이 정보가 올바른지 확인하세요. 04:08.940 --> 04:09.750 다음. 04:09.810 --> 04:14.670 이제 원시 주소인 언맵으로 원시 크기를 수정했습니다. 04:14.760 --> 04:18.660 다음으로 가상 크기를 수정해야 합니다. 04:18.660 --> 04:22.680 따라서 여기의 가상 크기 열은 원시 크기와 동일해야 합니다. 04:22.680 --> 04:30.390 따라서 이 항목을 3000으로, 이 항목을 1000으로, 이 항목을 3000으로, 이 항목을 200으로 변경할 것입니다. 04:33.210 --> 04:34.080 3000. 04:37.330 --> 04:38.350 1000. 04:40.840 --> 04:44.680 3000, 200. 04:45.280 --> 04:46.390 따라서 정확한지 확인하세요. 04:46.420 --> 04:47.680 셋, 하나, 셋, 둘. 04:47.710 --> 04:50.530 이제 수입이 수정되었는지 확인해 보겠습니다. 04:50.560 --> 04:51.130 예. 04:51.130 --> 04:53.170 그래서 가져오기 주소 테이블을 수정했습니다. 04:53.170 --> 04:57.070 이 멀웨어가 사용하는 모든 API를 확인할 수 있습니다. 04:58.660 --> 05:01.990 다음으로 할 일은 이미지 베이스를 수정하는 것입니다. 05:01.990 --> 05:04.090 이제 선택적 헤더로 이동해 보겠습니다. 05:04.270 --> 05:07.330 이 프로세스를 리베이싱이라고 합니다. 05:07.570 --> 05:13.780 여기에서 이미지 기반을 확인해보면 이미지 기반이 이미 올바른 것을 확인할 수 있습니다. 05:13.810 --> 05:20.220 1C 뒤에 0이 네 번 나오는데, 여기서 본 것과 같습니다. 05:20.230 --> 05:21.690 1C, 440. 05:21.700 --> 05:23.420 여기에서 삭제했습니다. 05:23.470 --> 05:26.530 따라서 이미 올바른 정보이므로 변경할 필요가 없습니다. 05:26.770 --> 05:29.050 이제 파일을 저장할 수 있습니다. 05:29.710 --> 05:36.970 여기를 마우스 오른쪽 버튼으로 클릭하고 실행 파일로 저장을 클릭한 다음 이름을 지정합니다. 05:37.360 --> 05:40.190 Hancitor_underscore_unmap이라고 05:42.850 --> 05:47.590 부르고 저장을 클릭할 수도 있습니다. 05:50.360 --> 05:56.180 이제 확인을 클릭하면 이 파일을 닫을 수 있으며, 여기에 매핑되지 않은 파일이 있습니다. 05:56.180 --> 06:00.290 이제 IDA에서 열어 IDA가 읽을 수 있는지 확인할 수 있습니다. 06:01.730 --> 06:03.050 이제 IDA를 열어 보겠습니다. 06:09.760 --> 06:16.060 새로 만들기를 클릭하고 여기에서 매핑되지 않은 파일을 엽니다. 06:18.160 --> 06:18.370 알겠습니다. 06:18.370 --> 06:19.030 알겠습니다. 06:24.410 --> 06:26.300 그냥 무시하세요. 확인을 클릭합니다. 06:28.850 --> 06:29.980 분석하게 두세요. 06:31.530 --> 06:33.360 여기에서 기능을 살펴보세요. 06:34.200 --> 06:41.220 이제 시작 함수가 하나뿐이었던 첫 번째 분석에 비해 훨씬 더 많은 함수가 있습니다. 06:41.250 --> 06:48.750 이제 Hancitor의 포장을 성공적으로 풀었으며 함수 이름도 확인할 수 있습니다. 06:49.350 --> 06:55.500 그런 다음 여기에서 가져온 가져오기, 가져오기, 06:55.500 --> 07:05.130 문자열 보기도 볼 수 있습니다. 보기를 연 다음 문자열을 클릭하면 여기에 문자열이 표시되며, 이렇게 07:05.940 --> 07:07.530 볼 수 있습니다. 07:07.560 --> 07:09.270 여기에 URL도 있습니다. 07:11.400 --> 07:14.910 C&C 호스트 등입니다. 07:15.060 --> 07:16.220 여기까지입니다. 07:16.230 --> 07:19.740 그래서 API 후킹 방법을 사용하여 이 멀웨어인 Hancitor의 07:20.370 --> 07:26.900 압축을 풀고 PE Bear를 사용하여 매핑을 해제하는 데 성공했습니다. 07:27.270 --> 07:29.750 이번 세션은 여기까지입니다. 07:29.760 --> 07:31.710 시청해 주셔서 감사합니다.