解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Panda Banker 解析 (2)

昨日(Panda Banker 解析 (1) - 解析メモ)の続き。

 

Access Violation が出るところが気になる。

f:id:k1z3:20180331031530p:plain

赤枠の部分はわざと Exception を起こしているように見える。

xor edx, edx で edx を 0 にしているのに mov ax, [edx] で 参照できなくなった edx を参照しているのだから。

 

 

www.symantec.com

ここに載っている UnhandledExceptionFilter のコードとも似ているので、

Exception が起きた後にデバッガが停止することで解析させない耐解析機能?

 

ollydbg の場合、AccessViolation が起きた際、Shift+F7/F8/F9 で解析を続けることにより、UnhandledExceptionFilter を使った耐解析機能は突破できるかも。

f:id:k1z3:20180331033053p:plain

 

試してみる。

f:id:k1z3:20180331032708p:plain

 

やった、動いた!