이번에는 프로그램 시작 시 자동으로 디버거에 붙게 하는 레지 값에 대해서 알아보도록 하겠습니다.
해당 바이러스는 올려드리겠습니다.
한번 실행시켜보실 분들은 해보세요 ^^ 원래대로 하고 싶을 땐 간단히 위 영상처럼 레지 값을 삭제해 주면 됩니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
위 레지 값으로 가보겠습니다.
뭔가 많은 값들이 있습니다. 길게 설명할 필요는 없으니 바로 가겠습니다.
위 보이는 곳에 하나의 키 값을 생성 시킵니다. ( 실행 시킬 파일 명 )
해당 키 값에 Debugger라는 값을 하나 생성 시켜서 데이터에 디버거 경로를 넣어줍니다.
확인을 누르고 계산기를 켜보겠습니다.
위와 같이 자동으로 올디에 연결되서 실행이 되게 됩니다.
그러면 여기서 그치지 않고 이 레지스트리 값을 가지고 간단한 바이러스를 만들어 보도록 하겠습니다.
잘 생각해보면 저 Debugger라는 값의 데이터를 올디로 하지말고 만약에 메모장으로 하면 어떻게 될까요??
계산기를 키면 메모장이 켜지는 사태가 발생 할 것입니다.
시나리오는 나온거 같으니 간단히 바이러스를 만들겠습니다.
바이러스를 실행시키면 위 레지스트리 값( 공격할 파일 명 )을 생성시켜
Debugger데이터 값을 바이러스 절대경로로 바꿔주고 해당 프로그램을 키면
원하는 프로그램은 안켜지고 바이러스가 실행 될 것입니다.
그래서 만들어본 바이러스 입니다.
동작은 이렇습니다.
바이러스에 감염된 PC는 작업관리자를 키면 바이러스가 실행될 것입니다.
영상을 보시면 어떻게 동작하는지 확실히 아실 수 있습니다.
영상 재생 안될 시 ( 다운로드 )
해당 바이러스는 올려드리겠습니다.
( 바이러스라고 말하기도 쪽팔리는 파일이군요. 악의적인 목적을 담고는 있으니 일단은 바이러스라고 하겠습니다. )
한번 실행시켜보실 분들은 해보세요 ^^ 원래대로 하고 싶을 땐 간단히 위 영상처럼 레지 값을 삭제해 주면 됩니다.
별볼일 없는 소스이지만 소스도 올려드릴께요;;;
'My Study > Reversing' 카테고리의 다른 글
가상 머신 탐지 기법 (2) | 2010.04.26 |
---|---|
DebugActiveProcess 후킹 후 프로세스 Attach막기 (7) | 2010.04.23 |
WinDbg 어플리케이션 크래쉬 발생 시 자동으로 붙게하기 (0) | 2010.04.20 |
피카츄배구 스피드업 ( Vista, Win 7 호환 ) (0) | 2010.04.19 |
Windows 7,Vista Random Imagebase (7) | 2010.04.18 |