WEBVTT

00:01.120 --> 00:01.760
돌아온 것을 환영합니다.

00:01.780 --> 00:08.630
따라서 이전 비디오에서 이미 압축을 풀고 메모리에서 덤프했습니다.

00:08.650 --> 00:14.630
따라서 이전 주소에 이미 덤프한 파일이 두 개 이상 있을 수 있습니다.

00:14.650 --> 00:21.430
따라서 두 파일이 모두 있는 경우 두 파일 모두 매핑을 해제하거나 저처럼 파일 하나만 있는 경우 이 파일만 매핑을

00:21.430 --> 00:23.090
해제하면 됩니다.

00:23.110 --> 00:26.680
따라서 현재 실행 중이 아닌지 확인하고 확인할 수 있습니다.

00:27.620 --> 00:29.090
또는 여기에서 실행 중인 것을 확인할 수 있습니다.

00:29.120 --> 00:29.730
이거 보여요?

00:29.750 --> 00:36.470
따라서 이것은 트로이 목마가 이미 시작한 새로운 SBC 호스트입니다.

00:36.560 --> 00:41.360
이 프로세스에는 이 코드가 숨겨져 있습니다.

00:41.780 --> 00:48.530
따라서 지금 트로이 목마를 중지하려면 여기에서 중지하거나 마우스 오른쪽 버튼을 클릭한 다음

00:48.530 --> 00:50.540
일시 중지할 수 있습니다.

00:51.510 --> 00:54.150
이 영역, 이 영역을 일시 중단할 수 있습니다.

00:54.150 --> 00:58.290
이 호스트를 더블클릭하면 메모리로 이동합니다.

00:59.180 --> 01:02.390
여기에 있는 메모리 영역을 살펴봅니다.

01:06.710 --> 01:18.560
따라서 이것은 실제로 이 프로세스가 생성될 때 이 프로세스에 삽입된 언팩 코드를 실행하는 것입니다.

01:19.190 --> 01:23.060
따라서 여기 이 코드와 여기 이 코드는 동일해야 합니다.

01:23.630 --> 01:26.120
이제 이걸 안전하게 죽이면 됩니다.

01:26.120 --> 01:34.730
이제 종료 3을 마우스 오른쪽 버튼으로 클릭하고 종료를 클릭하여 숨겨진 트로이 목마 프로세스를 중지한 다음 닫을 수 있습니다.

01:35.030 --> 01:42.080
이제 이 분석을 계속하려면 먼저 이미 방법을 알고 있는 베어 매핑을 해제해야

01:42.080 --> 01:43.490
합니다.

01:43.610 --> 01:47.410
이전 몇 개의 동영상에서 이미 그 방법을 알려드렸습니다.

01:47.450 --> 01:53.810
그러려면 유틸리티에서 가방을 열어 파일로 이동하면 됩니다.

01:55.070 --> 01:55.580
PB.

01:59.530 --> 02:06.790
그런 다음 이 파일을 베어에 끌어다 놓으면 이제 매핑을 해제해야 합니다.

02:07.120 --> 02:08.890
세션 헤더로 이동합니다.

02:08.920 --> 02:16.300
포장 풀기의 마지막 부분에서 주소를 동적으로 즉시 가져오는 것을 보았기 때문에 가져오기가

02:16.300 --> 02:18.640
없다는 것을 알 수 있습니다.

02:19.330 --> 02:22.690
여기에서 세션 헤더를 클릭하세요.

02:22.690 --> 02:25.480
가장 먼저 해야 할 일은 원시 크기를 수정하는 것입니다.

02:25.630 --> 02:30.730
따라서 여기에 있는 각각의 값을 이렇게 변경해야 합니다.

02:40.230 --> 02:41.570
이것은 5000입니다.

02:43.410 --> 02:44.700
이것은 6000입니다.

02:47.260 --> 02:53.750
그런 다음 원시 크기를 계산해야 하므로 이 값에서 각각의 원시 크기를 계산합니다.

02:53.770 --> 02:57.160
따라서 이 경우에는 4000 -1000입니다.

02:59.110 --> 03:00.730
그래서 3000입니다.

03:00.940 --> 03:07.870
이 값은 5000 -4000에서 1000으로 계산됩니다.

03:08.620 --> 03:14.440
그리고 이 값은 6000 -5000입니다.

03:15.440 --> 03:16.280
1000.

03:18.430 --> 03:19.730
따라서 정확한지 확인하세요.

03:19.750 --> 03:21.520
4에서 1을 빼면 3입니다.

03:21.550 --> 03:24.760
5에서 4를 빼면 1, 6에서 5를 빼면 1입니다.

03:24.940 --> 03:26.790
그리고 P 데이터.

03:26.800 --> 03:31.300
원하는 경우 빨간색이 모두 채워질 때까지 채우거나 그대로 두어도 됩니다.

03:31.720 --> 03:39.550
다음으로 가상 크기에서 값을 변경하여 원시 크기와 동일한지 확인합니다.

03:39.550 --> 03:41.470
첫 번째는 3000입니다.

03:43.120 --> 03:47.740
두 번째는 1000, 그다음은 1000입니다.

03:52.960 --> 03:58.030
마지막으로 1F8은 이미 정답입니다.

03:59.080 --> 04:00.010
여기까지입니다.

04:00.010 --> 04:03.400
다음은 기본 주소입니다.

04:03.400 --> 04:10.240
그래서 선택적 헤더를 클릭하면 기본 주소가 이미 올바른 하나 뒤에 0이 7 개로 심하게 손상되었습니다.

04:11.140 --> 04:11.470
알겠습니다.

04:11.470 --> 04:17.710
이제 이 매핑되지 않은 파일을 덤프하고 마우스 오른쪽 버튼으로 클릭하여 실행 파일을 다른 이름으로 저장할 수 있습니다.

04:19.400 --> 04:21.590
그런 다음 이름을 지정할 수 있습니다.

04:24.450 --> 04:26.130
새 접미사 포함.

04:26.370 --> 04:32.040
여기에서 타의 추종을 불허하는 클릭을 확인할 수 있습니다.

04:32.040 --> 04:34.470
이제 새 파일과 맵 파일이 생겼습니다.

04:34.860 --> 04:43.140
이제 이것을 닫은 다음 원한다면 해고할 수 있습니다.

04:43.170 --> 04:46.770
둘 중 하나를 사용하여 분석을 계속할 수 있습니다.

04:48.420 --> 04:49.050
그러니 클릭하세요.

04:49.050 --> 04:49.770
알겠습니다.

04:50.650 --> 04:50.920
알겠습니다.

04:50.990 --> 04:55.150
사용자를 클릭한 다음 데스크톱으로 이동합니다.

04:55.420 --> 04:57.580
언맵 파일을 선택합니다.

04:57.880 --> 04:58.660
엽니다.

04:59.980 --> 05:00.210
클릭합니다.

05:00.220 --> 05:00.910
알겠습니다.

05:07.760 --> 05:08.690
여기까지입니다.

05:09.560 --> 05:14.030
분석을 계속하기 위해 이 글을 읽어드리겠습니다.

05:14.060 --> 05:16.130
우리의 목표는 달성되었습니다.

05:16.160 --> 05:21.590
이미 이 파일의 매핑을 해제했습니다.

05:22.160 --> 05:30.950
따라서 이 트로이 목마는 실행 시 라이브러리를 동적으로 로드하기 때문에 가져오기가 없다는 점에 유의하세요.

05:31.520 --> 05:34.380
자, 이 영상은 여기까지입니다.

05:34.400 --> 05:36.230
시청해 주셔서 감사합니다.