호스트 컴퓨터를 지키기위한 원격 디버그 포스팅!
1. IDA가있는 디렉터리에 dbgsv디렉터리에 들어가보면 다음과 같이 reomote실행파일을 볼 수 있다. 본인 vmware에 맞게 복사를 한다.
2. vmware에 디버그할 악성코드가있는 경로에 붙여 넣기를 한다.
3. vmware에서 관리자 권한으로 cmd를 실행 후 해당 win32_remote.exe와 악성코드 샘플이 있는 디렉터리로 이동 후 win32_remote.exe를 실행(여기서 나온 my ip를 기억해야 한다.! )
4. host에서 malware_sample1를 ida로 열고 원하는 위치에 breakpoint를 설정해준다. 그 다음 밑줄 친 부분을 remote window deburger로 바꾸고 yes 를 눌러준다.
5. 그럼 다음과 같이 창이나오는데 Application, input file을 vmware에있는 악성코드 샘플파일의 경로까지 얺어주고 directory는 경로만 써준다. 그리고 vmware의 ip를 입력하고 ok를 눌러준다.
6. 위의 내용을 정확히 입력하면 아래의 그림처럼 Accepting connection이 나온다. 원격에 성공!
'Malware Analysis > - Knowledge storage' 카테고리의 다른 글
| Difference between Multiprocessing and Multithreading (0) | 2018.03.15 |
|---|---|
| win32 API (0) | 2018.03.10 |
| 해시(hash) vs 암호화(encryption) (0) | 2018.02.26 |
| adc, sbb, carry flag, overflow flag 이해하기(+cmp) (0) | 2018.02.01 |
| JSON?? (0) | 2018.01.30 |
