Jump to content
Sign in to follow this  
traitor

[Malware] : 파일 드랍/생성

Recommended Posts

악성코드는 보통 한개의 바이너리로만 존재하지않는다.
요즘 악성코드들은, 스크립트를 통해서 바이너리를 추출/다운로드한다.
보통은 base64로 바이너리를 문자열화시킨뒤 certutil.exe를 통해서 파일로 변환시키거나, 파워쉘같은 스크립트를 사용해서 다운로드한다.
이방법을 쓰는 이유는 백신우회나, 안티디버깅에 있다.
방법자체가 백신우회나 안티디버깅이라는 뜻은 아니다.
다만 분석하기 어렵게하거나, 안티디버깅할때 자주쓰이는 방법이다.

  • Like 1

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×

Important Information

I have read and accept the above terms.