[Malware Analysis] Lokibot 분석 ~ing (DLL Injection)

File name: PO NO5532.bin 분석 환경: Windows 10 x64 ver.20H2 ErrorMode를 지정하고, GetVersion()에서 Windows의 version을 받아오는데, Win 8.1 이거나 Win 10이면 ax=206을 반환하는데 현재 분석 환경은 WIn 10이므로 해당 분기문을 실행한다. v1에 off_409228[2 * a1]를 넘기고 있는데, a1은 0이므로 0x409228에 들어있는 값을 v1에 대입한다. v1에는 KERNEL32가 들어간다. v2에서는 KERNEL32에서 로드된 handle을 반환받는다. 밑에 if문은 handle을 성공적으로 반환받았을 때 실행한다. (GetModuleHandleA가 실패하면 return value는 0이다.) 다음은 v2, o..