INT 2E 를 활용한 Native API 호출방법

개요 비교적 최근 있었던 샘플을 분석하며 정리한 내용입니다. 고객사로 부터 악성코드가 접수됐는데, 실행이 시간이 너무 오래 걸려, 자동분석 한계시간을 초과해 분석되지 않는 이슈가 있는 샘플이었습니다. 샘플은 THOR 랜섬웨어, Locky 랜섬웨어의 변종이고 출시된진 수개월이 지났지만 여전히 활발히 활동하는 랜섬웨어 중 하나입니다. Malwares.com 보고서 에서 이번 분석에 사용한 샘플의 해쉬 및 기타 정보를 확인할 수 있습니다. 이런…

DKOM

개요 모든 32bit 윈도우 프로세스는 4Gbyte의 가상주소공간을 개별적으로 할당받는다. 이 주소공간은 다시 2Gbyte 씩 유저영역과 커널영역으로 나뉘어 지며, 유저영역의 주소공간은 프로세스별로 독립적이기에 프로세스간 서로 접근할 수 없다. 우리가 흔히 알고있는 프로그램들은 유저영역에서 동작이 이뤄진다. 커널영역에서는 하드웨어 드라이버, 프로세스 보안, 자원관리 등 PC의 동작에 필수적이고 민감한 정보를 다둔다. 따라서 유저영역에서 동작하는 프로세스는 커널영역에 직접 접근하는것이 차단되고,…