WEBVTT

00:00.830 --> 00:05.260
이전 동영상에서 이미 4번을 확인했습니다.

00:05.300 --> 00:12.620
이 지역 메모리는 덤프하기에 적합한 장소이므로 프로세스 해커를 열어 덤프해 보겠습니다.

00:12.650 --> 00:16.100
Flare로 이동하여 유틸리티로 이동합니다.

00:17.480 --> 00:19.160
프로세스 열기 해커.

00:24.610 --> 00:28.180
그런 다음 Ramnit 관리자를 찾습니다.

00:28.460 --> 00:31.090
두 번 클릭하고 메모리로 이동합니다.

00:31.090 --> 00:38.800
그런 다음 디스크 메모리 영역으로 내려가면 두 개의 D와 네 개의 0이 이어집니다.

00:39.430 --> 00:43.070
따라서 두 개의 D와 네 개의 0으로 이동합니다.

00:43.090 --> 00:43.540
여기 계셨군요.

00:44.770 --> 00:53.230
이제 이 부분을 두 번 클릭하여 확장하고 메모리 영역을 검사하면 다음과 같은 것을 확인할 수 있습니다.

00:53.260 --> 00:55.720
0에서 1로 올라갑니다.

00:55.930 --> 01:02.290
그리고 여기 이 시간, 여기 이 메모리와 비교하면 아래로 스크롤하세요.

01:02.290 --> 01:04.900
또한 0에서 1이 표시됩니다.

01:04.900 --> 01:06.670
따라서 이것은 동일한 메모리입니다.

01:07.120 --> 01:08.920
즉, 이곳이 올바른 덤프 장소라는 뜻입니다.

01:09.820 --> 01:14.950
따라서 이 항목을 덤프하려면 이 항목을 마우스 오른쪽 버튼으로 클릭하고 저장을 클릭하면 됩니다.

01:16.510 --> 01:18.110
그리고 데스크톱으로 이동합니다.

01:18.130 --> 01:25.390
남은 폴더에 저장하고 올바른 접미사가 붙은 이름을 지정할 수 있습니다.

01:27.610 --> 01:30.790
스트라이크 뒤에 점프할 주소를 입력합니다.

01:31.360 --> 01:35.710
따라서 점프할 주소는 2D에 0인치 16진수 4자리입니다.

01:35.950 --> 01:43.070
따라서 0 x 2D 다음에 0을 네 개 넣습니다.

01:43.090 --> 01:43.990
저장을 클릭합니다.

01:44.110 --> 01:48.350
이제 회원님의 경우 주소가 제 주소와 다를 수 있습니다.

01:48.370 --> 01:49.750
그러니 여러분의 것을 따르세요.

01:49.780 --> 01:55.720
이 분석을 실행할 때마다 덤프에 표시되는 주소가 달라집니다.

01:55.760 --> 02:00.160
Virtualalloc은 실행할 때마다 항상 다른 메모리 영역을 할당합니다.

02:00.940 --> 02:02.050
그리고 이것은 램니트를 위한 것입니다.

02:02.410 --> 02:03.970
그러니 여러분의 것을 따르세요.

02:04.000 --> 02:06.730
그래서 이제 우리는 그 일을 해냈습니다.

02:08.770 --> 02:16.180
다음으로 할 일은 사양이 높다는 것을 알기 때문에 a를 사용하는 것입니다.

02:16.180 --> 02:17.410
여기 지역 메모리.

02:17.560 --> 02:26.440
업 언패커를 사용해서 지금 닫고 CF 탐색기를 열 수 있도록 해야 합니다.

02:28.750 --> 02:34.840
CF Explorer는 유틸리티와 여기.

02:37.160 --> 02:37.790
두 번 클릭합니다.

02:38.120 --> 02:45.350
우리가 이것을 사용하는 이유는 이 CFF Explorer가 업 언패커와 함께 제공되기 때문입니다.

02:45.350 --> 02:46.580
편리합니다.

02:46.730 --> 02:52.820
이제 덤프 파일을 열어 보겠습니다.

02:55.910 --> 02:56.260
알겠습니다.

02:56.270 --> 03:00.380
덤프 파일을 CSS 폴더로 드래그하기만 하면 됩니다.

03:01.250 --> 03:05.810
여기에서 UWP 버전 3이 감지된 것을 확인할 수 있습니다.

03:05.920 --> 03:07.160
바로 패커입니다.

03:07.520 --> 03:14.510
그리고 여기 하단으로 내려가면 위로 유틸리티가 있고 압축 풀기 버튼이 있는 것을 볼 수 있습니다.

03:14.510 --> 03:17.240
거기서 포장 풀기를 클릭합니다.

03:18.180 --> 03:19.980
그리고 성공적으로 포장을 풀었습니다.

03:20.370 --> 03:21.780
이제 포장을 풀었습니다.

03:21.960 --> 03:23.040
저장할 수 있습니다.

03:24.060 --> 03:24.660
덮어쓰기?

03:24.690 --> 03:25.230
아니요.

03:25.470 --> 03:30.030
그래서 뒤에 새 접미사를 붙여 새 이름을 붙였습니다.

03:30.120 --> 03:37.050
포장을 풀거나 이렇게 말할 수 있습니다.

03:37.590 --> 03:38.060
위로.

03:38.340 --> 03:38.820
포장 풀기.

03:41.680 --> 03:44.740
이와 같이 정리한 후 저장을 클릭합니다.

03:44.740 --> 03:46.690
이제 여기에 새 파일이 있어야 합니다.

03:47.410 --> 03:49.690
이제 포장을 풀었습니다.

03:50.410 --> 03:55.630
이제 마지막으로 P 스튜디오에서 분석해 보겠습니다.

03:55.870 --> 04:01.330
그러니 마음을 열고 유틸리티로 이동하세요.

04:01.360 --> 04:03.910
P 스튜디오를 엽니다.

04:07.740 --> 04:15.000
그런 다음 언팩 파일을 스튜디오로 드래그하여 분석하기만 하면 됩니다.

04:19.740 --> 04:20.070
알겠습니다.

04:20.070 --> 04:22.950
여기에서 몇 가지 정보를 확인할 수 있습니다.

04:24.140 --> 04:25.220
그리고 문자열.

04:26.210 --> 04:28.370
제 기술을 볼 수 있습니다.

04:29.150 --> 04:31.550
이를 클릭하여 이에 따라 그룹화할 수 있습니다.

04:31.940 --> 04:40.730
그리고 보시다시피 꽤 긴 목록을 사용하고 있는 의심스러운 API 중 일부는 다음과 같습니다.

04:40.730 --> 04:42.200
멀웨어에서 매우 흔합니다.

04:44.420 --> 04:44.620
알겠습니다.

04:44.660 --> 04:45.020
보이시죠?

04:46.720 --> 04:50.200
지금 바로 분석할 수 있습니다.

04:50.650 --> 04:58.150
세션이 끝날 때까지 목표를 성공적으로 달성했습니다.

04:58.180 --> 05:06.670
램닛 트로이목마의 포장을 풀고 UPS 스페셜 인사이드 레인 침입의 포장을 풀었습니다.

05:06.910 --> 05:09.400
시청해 주셔서 감사합니다.

05:09.580 --> 05:10.990
다음 편에서 뵙겠습니다.