WEBVTT

00:00.620 --> 00:01.030
안녕하세요.

00:01.040 --> 00:01.910
돌아온 것을 환영합니다.

00:01.940 --> 00:10.310
지난 영상에서 API 열거를 통해 API가 몇 번이나 공격을 받았는지 세어본 결과 Virtualalloc의 경우 세 번, Virtualprotect의

00:10.310 --> 00:14.750
경우 여섯 번 공격을 받은 것으로 나타났습니다.

00:14.750 --> 00:22.430
그리고 감시자 보호는 첫 번째 기회 예외가 적용되기 직전에 마지막으로 공격당했습니다.

00:22.430 --> 00:29.600
따라서 Virtualalloc이 여섯 번째로 호출되면 첫 번째 기회 예외가 발생하기 직전에 덤프할 수 있다는

00:29.600 --> 00:31.100
것을 알고 있습니다.

00:31.100 --> 00:32.500
이것이 바로 트릭입니다.

00:32.510 --> 00:36.440
이제 우리는 이제

00:37.910 --> 00:47.720
시스템 중단점 콜백을 확인하기 전에 x32 DBS에 대한 옵션을 전송한 다음 Dridex 트로이 목마를 엽니다.

01:01.180 --> 01:04.000
그리고 두 개의 중단점을 설정했습니다.

01:05.800 --> 01:13.720
가상 잠금의 중단점 및 가상 보호의 중단점.

01:17.380 --> 01:21.010
생성 프로세스를 내부에 넣을 필요가 없습니다.

01:21.310 --> 01:29.100
이제 중단점 탭에서 둘 다 설정되어 있고 이제 카운트가 0과 0인지 확인합니다.

01:29.110 --> 01:35.930
따라서 여기 가상 보호 6을 위해 6이 될 때까지 F9를 계속 누를 수 있습니다.

01:35.950 --> 01:38.590
그때가 바로 덤프할 준비가 되었다는 것을 알 때입니다.

01:39.550 --> 01:43.050
그러니 달리고, 치고, 지켜보세요.

01:43.060 --> 01:44.620
무시해도 됩니다.

01:45.160 --> 01:47.470
실행 무시합니다.

01:47.800 --> 01:48.520
실행.

01:48.970 --> 01:50.860
해당 실행은 무시하세요.

01:51.460 --> 01:51.760
Watch.

01:51.760 --> 01:52.150
보호.

01:52.480 --> 01:56.250
이제 두 번째 매개변수를 살펴보겠습니다.

01:56.260 --> 01:57.880
먼저 넘어가 보겠습니다.

02:01.180 --> 02:01.780
뒤로 물러서세요.

02:02.410 --> 02:04.660
전화가 올 때까지 기다리세요.

02:05.320 --> 02:07.240
이제 두 번째 매개 변수를 살펴봅니다.

02:07.270 --> 02:08.770
이 메모리 영역입니다.

02:09.130 --> 02:09.430
알겠습니다.

02:09.430 --> 02:14.980
원하는 경우 1번 메모리에 이어 이 메모리 영역을 따라갈 수 있습니다.

02:15.220 --> 02:16.300
우리가 원한다면.

02:16.300 --> 02:17.290
하지만 선택 사항입니다.

02:17.830 --> 02:22.270
이제 우리는 계속해서 넘어갑니다.

02:23.680 --> 02:32.550
그리고 뛰면서도 계속 지켜보고, 보호하고, 계속 점프합니다.

02:35.900 --> 02:37.130
통화 후 여기를 클릭하세요.

02:37.430 --> 02:42.860
두 번째 매개변수는 해당 실행의 압축을 계속 풀고 있습니다.

02:45.100 --> 02:45.460
다시 말하지만.

02:45.460 --> 02:46.090
교대해야 합니다.

02:46.750 --> 02:47.500
뒤로 물러서세요.

02:48.700 --> 02:49.150
점프.

02:50.440 --> 02:52.990
보존 프로젝트까지 단계.

02:53.110 --> 02:54.340
두 번째 매개변수입니다.

02:54.370 --> 02:54.700
보이시죠?

02:54.700 --> 02:55.900
뒤에서도 계속됩니다.

02:56.590 --> 02:59.230
그리고 중단점 수를 보세요.

02:59.470 --> 03:00.580
셋, 셋.

03:00.670 --> 03:01.330
아직은 아닙니다.

03:01.330 --> 03:03.610
따라서 3시 6분이 될 때까지 기다려야 합니다.

03:04.150 --> 03:07.450
앞서 열거한 내용을 기억하세요.

03:07.690 --> 03:09.910
세 여섯.

03:11.020 --> 03:12.070
자, 이제 실행해 보겠습니다.

03:13.940 --> 03:15.530
이 모든 단계를 수행하고.

03:18.190 --> 03:20.440
그리고 이걸 밟고 달리세요.

03:23.270 --> 03:24.500
무엇이 중요한가요?

03:26.970 --> 03:27.600
여기까지만

03:32.670 --> 03:33.810
오세요.

03:34.560 --> 03:34.980
보이시죠?

03:34.980 --> 03:39.720
동일한 메모리 영역에서 0부터 시작하여 7개의 0으로 압축을 푸는 작업을 계속합니다.

03:40.950 --> 03:41.790
다시 실행합니다.

03:42.120 --> 03:43.050
숫자를 보세요.

03:43.380 --> 03:44.220
셋, 넷.

03:49.040 --> 03:49.970
다시 보호할 수 있습니다.

03:50.960 --> 03:51.650
뒤로 물러서세요.

03:54.620 --> 03:55.280
뒤로 물러서세요.

03:55.760 --> 03:57.740
전화가 올 때까지 비켜주세요.

03:58.310 --> 03:59.600
두 번째 매개변수입니다.

04:00.930 --> 04:05.120
동일한 지역 메모리와 더 높은 주소.

04:05.130 --> 04:06.360
2830.

04:07.830 --> 04:10.170
휴식 시간에 누르세요. 35.

04:10.200 --> 04:11.910
한 번만 더 치면 된다는 뜻입니다.

04:12.870 --> 04:14.310
자, 다시 실행해 보세요.

04:16.360 --> 04:16.960
뒤로 물러서세요.

04:19.510 --> 04:20.680
보호로 이동합니다.

04:21.460 --> 04:22.840
보호로 이동합니다.

04:23.980 --> 04:25.510
이제 넘어가세요.

04:26.260 --> 04:28.030
그리고 이제 끝났다고 생각합니다.

04:28.390 --> 04:31.990
이제 브레이크 포인트 6으로 이동합니다.

04:32.020 --> 04:34.390
즉, 메모리를 덤프할 준비가 되었다는 뜻입니다.

04:34.630 --> 04:38.530
따라서 이것은 자체 주입이므로 여기서 덤프하지 않습니다.

04:38.560 --> 04:45.550
이전에는 메모리 맵에서 마우스 오른쪽 버튼으로 팔로우를 클릭한 다음 여기에서 덤프하고 마우스 오른쪽 버튼을 클릭했습니다.

04:46.480 --> 04:52.920
파일일 수도 있지만 자체 주입이므로 자체 프로세스를 덮어쓴다는 의미입니다.

04:52.930 --> 04:59.830
그래서 우리가 하는 일은 프로세스 해커로 이동하여 플래그를 열고 유틸리티로 이동하는 것입니다.

05:07.690 --> 05:09.520
그런 다음 프로세스 해커를 엽니다.

05:16.420 --> 05:23.850
그런 다음 다이얼렉시아를 검색한 다음 부속서를 두 번 클릭한 다음 메모리 폴더로 이동합니다.

05:24.910 --> 05:32.380
이제 여기서부터 0이 7개 뒤에 오는 주소에 0을 덤프하겠습니다.

05:32.410 --> 05:34.970
이것은 확장하여 볼 수 있습니다.

05:34.990 --> 05:37.480
이 모든 것이 언팩 코드입니다.

05:37.510 --> 05:43.210
여기 자체 프로세스에 언팩 코드를 자체적으로 삽입했습니다.

05:43.420 --> 05:48.760
또한 보호 비트가 쓰기 가능하고 실행 가능한 것을 확인할 수 있습니다.

05:48.910 --> 05:52.030
이제 이걸 마우스 오른쪽 버튼으로 클릭하면 됩니다.

05:52.870 --> 05:53.500
저장.

05:56.410 --> 06:02.530
그런 다음 바탕 화면으로 이동하여 Dridex 폴더에 저장하여 이 Dridex 덤프를 호출할 수 있도록 합니다.

06:04.760 --> 06:08.530
X 밑줄 덤프를 작성합니다.

06:09.290 --> 06:09.770
저장.

06:11.150 --> 06:14.060
자, 이제 모든 것을 닫을 수 있습니다.

06:14.990 --> 06:19.760
이것을 닫으면 xdb도 닫을 수 있습니다.

06:24.740 --> 06:26.150
이미 이 작업을 수행했습니다.

06:26.300 --> 06:33.620
다음 동영상에서는 PEB를 사용하여 매핑을 해제하는 과정을 보여드리겠습니다.

06:34.580 --> 06:35.720
시청해 주셔서 감사합니다.