bindata1 HWP OLE 파일 분석 HWP 파일 내 BINdata 안에 OLE를 포함하고 있다. OLE의 경우 PS와 다르게 자동 실행되지 않으며, OLE개체를 사용자의 상호작용(클릭 or 매크로)을 통해 실행된다. 만약 해당 내에 쉘코드가 포함되어 있을 경우에는 문서의 취약점을 악용하는 경우가 많다. malcat을 통해 구조를 확인해보자. Bindata안에 의심스러운 OLE 개체를 확인할 수 있다. 해당 Bindata는 Zlib으로 압축되어 있기 때문에 수동으로 풀어줘도 되지만, decompress 툴이 존재할 경우 자동으로 풀어주는 툴을 이용해보기도 하자. 현재 샘플 같은 경우 decompress를 하면 파일 용량이 180MB를 넘나는드는 대용량이 되버린다. 처음 4바이트는 삭제하자. 그래야지 OLE개체로 인지할 수 있다. 다시 Ma.. 2025. 4. 16. 이전 1 다음
