WEBVTT

00:00.570 --> 00:01.670
안녕하세요, 다시 오신 것을 환영합니다.

00:01.680 --> 00:09.680
이전 비디오에서 이미 이 Zloader를 덤프했으며, 이제 PE Studio에서 살펴볼 예정이므로 FLARE

00:09.690 --> 00:13.740
유틸리티 폴더에 있는 PE Studio를 실행합니다.

00:15.710 --> 00:17.570
PE 스튜디오를 엽니다.

00:22.270 --> 00:27.190
그런 다음 파일을 PE Studio로 드래그하여 분석합니다.

00:30.100 --> 00:35.910
바로 Microsoft Visual C++ 6이라는 서명이 보입니다. 0.

00:36.250 --> 00:39.810
그래서 우리는 그것을 성공적으로 다시 버린 것 같습니다.

00:40.630 --> 00:44.640
낮은 엔트로피인 6도 확인할 수 있습니다. 627.

00:45.490 --> 00:58.450
그리고 섹션을 보면 . 텍스트, . 데이터 및 . reloc을 제외하고는 모두 낮은 엔트로피입니다.

00:58.450 --> 00:58.450
rsrc를 입력하세요.

00:59.830 --> 01:00.580
7. 983.

01:02.900 --> 01:11.180
그리고 라이브러리도 이번에는 7개로 더 늘어났으며, kernel32, user32, advapi32에

01:12.080 --> 01:18.460
더해 이제 Shell32, WS2_32, Shlwapi 등이 있습니다.

01:20.900 --> 01:23.060
따라서 556개의 수입품이 있습니다.

01:29.990 --> 01:33.530
그리고 문자열, 문자열을 살펴봅시다.

01:36.170 --> 01:37.460
여기에는 약간의 암호화가 있습니다.

01:47.770 --> 01:52.960
이는 임베디드 코드의 복호화에서 중요할 수 있습니다.

01:56.070 --> 02:03.190
기본적으로 이것이 방법론입니다. Zloader 트로이 목마의 압축을 푸는 방법입니다.

02:04.750 --> 02:06.400
PE Bear를 사용할 수도 있습니다.

02:09.350 --> 02:11.840
이제 PE Bear를 열어 보겠습니다.

02:19.610 --> 02:27.040
모든 수입과 수출을 살펴보세요. 여기에서 볼 수 있듯이 내보낸 함수는 DllRegisterServer입니다.

02:28.310 --> 02:33.330
따라서 이 서비스가 실행되면 이 서비스를 사용하여 DLL을 실행하게 됩니다.

02:34.460 --> 02:37.330
현재 rundll32가 이 기능을 사용하고 있습니다.

02:38.970 --> 02:42.490
하지만 이것은 이 앱이 원하는 것이 아닙니다. 결국 실행되면 서비스를

02:42.510 --> 02:44.080
사용하게 됩니다.

02:45.770 --> 02:48.560
이번 세션은 여기까지입니다.

02:49.010 --> 02:50.570
시청해 주셔서 감사합니다.