왠만하면 악성코드들은 32 bit 프로그램이다. 왜냐하면 32 bit 프로그램은 32 bit, 64 bit 환경 아래에서 둘 다 동작하기 때문이다. 그런데 악성코드들 중 64 bit로만 작성되어야하는 코드들도 있다.
1. 커널 코드
커널이 64bit에서 동작한다면, 커널 코드가 64 bit이므로 루트킷과 같이 커널과 상호작용하는 악성코든는 64 bit일 수 밖에 없는 것이다.
2. 플러그인 & 코드 삽입
64 bit 어플리케이션이 동작 중인데 그 어플리케이션에 코드를 삽입하거나 악성 플러그인을 로드하려면 악성코드들도 64 bit여야 할 수 밖에 없다.
3. 쉘코드
2번과 마찬가지로 64 bit 프로그램에서 쉘코드가 정상적으로 작동하기 위해서는 64 bit를 위한 쉘코드를 작성할 필요가 있다.
'악성코드 분석' 카테고리의 다른 글
| kimsuky 분석 1 - 드롭퍼 (0) | 2020.04.28 |
|---|---|
| 안티 가상머신 (0) | 2020.03.07 |
| 안티 디버깅 기법 (0) | 2020.03.06 |
| 안티 디스어셈블리 (0) | 2020.03.04 |
| 네트워크 시그니쳐 생성 (0) | 2020.03.01 |