CodeEngn malware 08

코드엔진 malware 08번 문제풀이

악성코드 8번 문제를 분석하기 전에 일단 문제 설명을 보면 악성코드 Flow의 일부이며 다른 악성코드를 실행하여 추가 감염을 일으키는 함수의 주소를 찾으라고 했다. 분석을 하기 전에 파일을 실행하는 api함수가 있는지 구글링을 해보니 ShellExecute함수가 있는 것을 확인할 수 있었다. 이제 문제를 분석해보자

전체적으로 살펴보니 ShellExecuteEx함수를 사용하는 구간을 찾을 수 있었다. 아래의 ShellExecuteEx함수는 위의 ShellExecuteEX함수를 실패할 경우 다시 한번 실행하는 구간이므로 다른 악성코드를 실행하여 추가 감염을 일으키는 함수의 주소는 004025F4이다.