개인적인 경험에 근거하여 Drive-By Download로 드랍된 악성코드에서 자주 볼 수 있었던기법이다.
Self Modifying Code를 우리말로 하면 "자체 코드 수정" 정도 되겠다.
위 예제 코드는 ExitProcess 함수를 호출하는 코드이다.
당연히 눈치 채셨겠지만 cmd 배열안에 선언된 값이 0x01과 XOR 연산을 마치고나면 ExitProcess 함수의 주소가 된다.
이러한 형태의 코드를 분석할 때 위 예제와 같이 간단한 경우라면 Key 값과 Decrypt 할 값을 바이너리에서 추출해 XOR 연산을 시키면 깔끔하게 실행가능한 Opcode가 나오기도 하는데, 그렇지 않을 경우 그냥 디버거에서 천천히 Tracing 해보면 본래 Opcode를 얻을 수 있다.