1. Section의 Naming을 확인하자!
Section Table Viewer로 섹션 정보 확인해보면, Yoda Cryrtor는 yC로 UPX는 UPX0, UPX1로 특별한 섹션이 추가됨을 알수 있다.
2. Code Cave여부를 확인해 보장!!
코드를 JMP와 NOP으로 조작해둠.
3. Import Table이 눈에 뛰게 작은 경우
패킹 되기 전에 Imports를 띄워서 보게되면 로드된 함수들이 엄청 많은데 비해
패킹이 되어있을 경우에는 LoadLibraryA()와 GetProcAddress()함수밖에 없다.
즉, LoadLibraryA()함수로 DLL파일을 로드하고, GetProcAddress()로 DLL에서 익스포트 된 함수의 주소를 얻어오는 기본적인 작업만을 하게 된다.
4. String Table에 알수없는 값들로 채워져 있거나 아에 없는 경우
패킹되어있을 경우 String Table에 뷤릭뢥 이런 식으로 깨진 글자들이 있다.
5. Standard Entry Point가 아닐 경우
반응형