200514_구로더(GuLoader) 간단 정리 요즘 귀찮게 하는 악성코드인 구로더(GuLoader)이다. 안티디버깅 기법 우회했던걸 정리하기 위해 포스팅한다.
참고한 블로그(해외링크 주의) https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html https://www.anquanke.com/post/id/204839 해당 루틴은은 메모리 0x10000 ~ 0x7FFFF000 범위에서 가상환경과 관련된 문자열을 체크한다. 문자열은 암호화되어 있으며, 문자열을 무력화시켜 우회가능하다.
[가상환경탐지 문자열] 0xB314751D 0xA7C53F01 0x7F21185B 0x3E17ADE6 0xF21FD920 0x27AA3188 0xDFCB8F12 0x2D9CC76C CreateFileA 함수를 통해 가상환경과 관련된 특정 파일이 존재하는지..........
