PeCmd CMPS 디코딩 테스트...
2024.06.17 02:38
오늘따라 잠도 안오고 해서...
메모리 인젝션 테크닉을 이용해서 간단하게 PeCmd CMPS 디코딩 테스트 프로그램을 만들어 봤어요.
첨부한 파일을 풀면
1. depe.exe
2. hkpe.dll
3. DrvIndex.bin (암호화 되어있는 샘플파일)
3개의 파일이 나오는데...
depe DrvIndex.bin 엔터치면...
아래 그림과 같이... 디코딩한 내용을 보여줄 겁니다.
댓글 [7]
-
kernel 2024.06.17 02:50
-
sunshine 2024.06.17 07:51
1. 테스트 파일 인코딩이 ansi 인 경우: 제공하신 샘플 파일도 잘 되고 다른 파일도 잘 됩니다.
2. 테스트 파일 인코딩이 utf-16 be 경우: 잘 안됩니다.
- 샘플 파일: ADMIN.INI
- depe.exe로 복호화한 경우: 4줄만 복호화가 되고 나머지는 안됩니다.
- 석영님 Cmpa_Decryptor25a/25b.exe 로 복호화한 경우: 잘 됩니다.
-
kernel 2024.06.17 13:41
PeCmd 자체에 버그가 있어요.
해결하는 건 코드수정해서 컴파일 다시 하면 되는 일이라
5분도 안 걸릴 간단한 작업이지만 PE에 관심이 없어서. ㅎ
-
cungice 2024.06.17 08:23
수고 많으셨습니다. 감사합니다.
-
夕影 2024.06.17 09:28
제가 수정한 Cmpa_decryptor 첫번째 버전 메세지 박스를 후킹하셨네요
일부러 방법도 다 공개했는데
코드에서 출력부분만 변경해서 게시물을 올리다니 ?????????????
이게 뭐죠?
-
kernel 2024.06.17 10:38
저는 PE에 관심이 전혀 없는 사람입니다.
다만 첫번째 버전을 살펴보니...
다이알로그 박스를 이용해서 PeCmd를 대기 시키면서 오토핫키 이용해서
디코딩된 메모리를 읽어가는 구조로 되어있는 것을 보았던 터라..
잠도 안오고해서 늦은 시간에 후킹해 본 게 다에요.
PE에 관심 있었다면 더 안으로 들어가서 분석해 봤겠죠.
기분 나빴다면 미안힙니다.
-
夕影 2024.06.17 14:40
Cmpa 복호화 방식을 숨기려는 생각은 전혀 없습니다.
서로를 존중하며 열린 마음으로 대화하는 것이 중요할 것 같습니다
수정한 파일로 교체함. 졸면서 만든 거라 어떤 버그가 있을지 ㅎ