본문 바로가기

My Study/Reversing

프로그램 시작 시 디버거 자동으로 붙게하기

이번에는 프로그램 시작 시 자동으로 디버거에 붙게 하는 레지 값에 대해서 알아보도록 하겠습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

위 레지 값으로 가보겠습니다.

뭔가 많은 값들이 있습니다. 길게 설명할 필요는 없으니 바로 가겠습니다.

위 보이는 곳에 하나의 키 값을 생성 시킵니다. ( 실행 시킬 파일 명 )


해당 키 값에 Debugger라는 값을 하나 생성 시켜서 데이터에 디버거 경로를 넣어줍니다.


확인을 누르고 계산기를 켜보겠습니다.

위와 같이 자동으로 올디에 연결되서 실행이 되게 됩니다.

그러면 여기서 그치지 않고 이 레지스트리 값을 가지고 간단한 바이러스를 만들어 보도록 하겠습니다.
잘 생각해보면 저 Debugger라는 값의 데이터를 올디로 하지말고 만약에 메모장으로 하면 어떻게 될까요??
계산기를 키면 메모장이 켜지는 사태가 발생 할 것입니다.

시나리오는 나온거 같으니 간단히 바이러스를 만들겠습니다.
바이러스를 실행시키면 위 레지스트리 값( 공격할 파일 명 )을 생성시켜 
Debugger데이터 값을 바이러스 절대경로로 바꿔주고 해당 프로그램을 키면
원하는 프로그램은 안켜지고 바이러스가 실행 될 것입니다.

그래서 만들어본 바이러스 입니다.
동작은 이렇습니다.
바이러스에 감염된 PC는 작업관리자를 키면 바이러스가 실행될 것입니다.
영상을 보시면 어떻게 동작하는지 확실히 아실 수 있습니다.
영상 재생 안될 시 ( 다운로드 ) 

해당 바이러스는 올려드리겠습니다.
( 바이러스라고 말하기도 쪽팔리는 파일이군요. 악의적인 목적을 담고는 있으니 일단은 바이러스라고 하겠습니다. )

한번 실행시켜보실 분들은 해보세요 ^^ 원래대로 하고 싶을 땐 간단히 위 영상처럼 레지 값을 삭제해 주면 됩니다.

별볼일 없는 소스이지만 소스도 올려드릴께요;;;