정상 파일에 코드를 삽입시키는 바이러스 기능이 있는것이 있길래 간단하게 정리해 봅니다.
테스트에 사용된 프로그램은 프로세스 익스플로러 입니다.
00 바이트가 있는것은 감염전의 정상 파일이고, 아래 변경된 것은 감염되어 155 바이트가 추가된 화면입니다.
아래화면은 155 바이트만 따로 빼낸 화면이구요.
감염된 파일은 EP 값이 수정된 155바이트로 변경되기 때문에 0006855C 로 되고, 그에 따라 EP Section 은 존재하지 않게 됩니다. 정상적인 경우에는 아래와 같이 계산하게 됩니다.
EP - (가상오프셋 - 실제 오프셋)
가상오프셋은 해당 섹션의 12바이트 이동한 위치의 DWORD 이고, 실제 오프셋은 20바이트 이동한 위치입니다.
아래는 올리로 추적한 화면입니다.
155 바이트는 첨에 t 파일이 MZ, PE 파일인지 체크를 합니다.
그 후 Winexec API 를 이용해서 t 파일을 실행하게 되는데 Winexec 함수를 찾는 과정이 진행됩니다.
