Matilda1 바이러스 :: 2007/11/16 12:35


지난 주말에 마소 원고를 썼어야 했는데 소리통 기능 추가한다고 뻘짓좀 하고, K가 면접 있다고 올라와서 좀 놀아주고 하다보니 몇 페이지 쓰지도 못하는 초유의 사태가 발생했습니다. 원고 마감이 몇 일 남지도 않았기 때문입니다. 그래서 요 몇 일 좀 바빴습니다. 맨날 미루다가 된통 당했네용. ㅎㅎ

하여튼 그런 우여곡절 끝에 Matilda1 바이러스가 만들어졌습니다. ㅋㅋ 첨에 당연히 C++로 만들어야지 하고 만들기 시작했는데, 중간에 포기하고 어셈블리로 만들뻔 했습니다. 하지만 뛰어난 끈기와 투지로 함정을 헤쳐나가서 마침내 C++로 PE를 감염시키는 아주 정직한 바이러스를 만들었습니다.

어떤 바이러스인지 궁금하시죠? 감염된 파일을 실행하면 아래 화면처럼 마우스 포인터가 위치한 곳에 Matilda1이란 글자를 마구 씁니다. 증상은 그게 답니다. 프로그램 종료할 때까지 열심히 쓰죠. 증상은 그게 전부입니다. 뭔가 그럴싸한 증상을 만들고 싶었으나 마땅한게 없더군요. 근사한건 너무 길어서 ㅋㅋ

사용자 삽입 이미지

감염된 파일이 실행되면 c:\test 아래에 있는 실행 파일 중에 감염되지 않은 놈을 전염시킵니다. 전염 시킨 놈을 디버그 출력으로 찍어주죠. 아래는 그렇게 전염되는 것을 캡쳐한 화면 입니다.

사용자 삽입 이미지

아래는 Matilda1의 바이러스 코드 진입점입니다. 이 부분만 보고 이게 무슨 C++ 이냐고 하실 수도 있지만 나머지는 다 C++입니다. ㅋㅋ 물론 인라인 어셈블리가 종종 등장하긴 합니다.


Matilda1에 감염되면 파일의 끝에 .vmat 섹션이 추가되고 엔트리 포인트가 바이러스 코드로 변경됩니다. 따라서 휴리스틱 기능을 사용하는 백신 엔진에는 바로 걸리겠죠. 결국 마소 12월호 광고 였습니다.

사용자 삽입 이미지

소리통에도 근사한 기능 추가가 임박했습니다. ShoutCAST 관련 버그 패치, UI 기능 추가, 환경 설정, 라디오 청취 기능이 추가될 계획입니다. ㅋㅋ

스폰서
글타래

  • 2주간 인기 글
  • 2주간 인기글이 없습니다.
Trackback Address :: http://jiniya.net/tt/trackback/651
  • Gravatar Image.
    kkamagui | 2007/11/16 14:07 | PERMALINK | EDIT/DEL | REPLY

    오~ 이번 호 마소에는 PE 파일을 감염시키는 바이러스에 대해서 나오는 건가요? ^^;;; 기사가 기대됩니다. ^^ 좋은 내용 많이 부탁드립니다. ^^

    • Gravatar Image.
      codewiz | 2007/11/16 17:36 | PERMALINK | EDIT/DEL

      고맙습니다. ^^;;
      아마 까마귀님은 이미 다 알고 있는 내용일 겁니다. 흐흐~~

  • Gravatar Image.
    Maro | 2007/11/16 17:30 | PERMALINK | EDIT/DEL | REPLY

    오.. 바이러스로군요.. +_+!
    12월호 기대하고 있어요~
    (근데 11월호는 언제 다봐.. ㅠ_ㅠ)

    • Gravatar Image.
      codewiz | 2007/11/16 17:36 | PERMALINK | EDIT/DEL

      너무 꼼꼼하게 보는거 아니예용?? ㅎㅎ
      적당히 봐요 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

  • Gravatar Image.
    고감자 | 2007/11/17 14:13 | PERMALINK | EDIT/DEL | REPLY

    재밋는거 하시네요.

    저랑은 많이 다른 분야라서 신기하네요. ㅋ


    • Gravatar Image.
      codewiz | 2007/11/19 00:59 | PERMALINK | EDIT/DEL

      저도 고감자님 블로그에서 검색 관련 글을 보면서 매번 그런 생각을 하곤 한답니다. *^^*

  • Gravatar Image.
    eslife | 2007/11/17 19:15 | PERMALINK | EDIT/DEL | REPLY

    어셈블리 하시는 분들 보면 경외감마저 가끔 느낍니다. 요즘 세대(?)들은 어셈까지 아는 개발자가 거의 없을텐데 대단하네요.
    머리가 나빠 어셈블리만 보면 백지장처럼 머리가 하해져서 아직까지도 모르고 지내고 있습니다.
    부럽습니다 ^^;

    • Gravatar Image.
      codewiz | 2007/11/19 01:00 | PERMALINK | EDIT/DEL

      보통 그렇게들 생각하는데 알고보면 어셈블리가 훠얼씬 쉽답니다. 단지 어셈블리로 복잡한 것 만들기가 쉽지 않아서 그렇죠. 그런데 요즘 매크로 어셈블리는 거의 하드한 C 수준은 되는 것 같아요. ㅎㅎ^^

  • Gravatar Image.
    chp | 2007/11/17 22:14 | PERMALINK | EDIT/DEL | REPLY

    종종이 아니라 대부분인거 같은데요!!
    한참 웃었습니다. 이런것도 재미있겠내요.

    • Gravatar Image.
      codewiz | 2007/11/19 01:00 | PERMALINK | EDIT/DEL

      chp님 예리하십니다. 그런데 정말 그렇게 많지는 않아요. 헤헤*^^*

  • Gravatar Image.
    megarex | 2007/11/18 18:54 | PERMALINK | EDIT/DEL | REPLY

    뛰어난 끈기와 투지랑은 안어울리잖아 ㅋㅋ
    뛰어난 머리와 술? 스타? ㅋㅋ

    • Gravatar Image.
      codewiz | 2007/11/19 01:04 | PERMALINK | EDIT/DEL

      햄. 그런가요? ㅋㅋㅋ
      술하고 스타는 맞는거 같은데 머리는 좀 ^^;;
      지난 주에 산낙지에 술마셨다 골로 갈뻔했자나요...
      간만에 피자놀이, 환자놀이, 시체놀이 다 했다는 ㅠㅠ

      이번에 곰티비 스타 봤어요.. ㅋㅋ
      택사마가 져서 어찌나 기분이 좋던지... ㅎㅎ
      얼마만에 테란 우승인지.. 감격했습니다.

  • Gravatar Image.
    제풍 | 2007/11/18 23:57 | PERMALINK | EDIT/DEL | REPLY

    아주 깜찍하고 귀여운 바이러스네요.. :)
    그런데 마틸다가 누군지..???

    • Gravatar Image.
      codewiz | 2007/11/19 01:04 | PERMALINK | EDIT/DEL

      제풍님 감사요. ^^;;
      그런데 정말 예리하신데요... ㅋㅋ
      날카로운 질문을 던지시다뉘... 흐흐~~

  • Gravatar Image.
    뿔테 | 2007/11/22 08:14 | PERMALINK | EDIT/DEL | REPLY

    오 재미있겠네요 ... 12월호 나오면 바로 실습 들어가야 겠어요 ^ ^

    기대기대~

    • Gravatar Image.
      codewiz | 2007/11/22 13:39 | PERMALINK | EDIT/DEL

      기대가 크면 실망도 크다는데, 부담되네용. ㅎㅎ^^;;

Name
Password
Homepage
Secret
< PREV | 1| ... 90|91|92|93|94|95|96|97|98| ... 604| NEXT >