정적분석 샌드박스 결과를 보면 흐름은 대충 이러하다고 추측이 가능합니다. "자식프로세스를 생성하고 거기에 코드인젝션?이나 특정행위를 하게 한다." 정도 추측이가능합니다. IDA로 분석 도중 AutoIt으로 만들어진 바이너리라는 것을 알게 되었습니다. "exe2auit"을 이용해 디컴파일 해서 분석할 수 있었지만 디컴파일전 먼저 IDA로 분석을 해보았습니다. CreateProcess에 bp를 걸고 자식프로세스를 생성할때 잡을려고햇는데 왜 안되지 ㅡㅡ 그래서 결국 분석보고서를 보고 힌트를 얻었다. [중요] 안티후킹?(정확한 용어가 맞는지 모르겠다.)이 적용 되어있었다. 보통 프로그램이 실행이되면 ntdll, kernel.dll 등 기본적인 dll이 로딩이 되는데 이때 0x7xxxxxxx주소로 로딩이된다. 하..
