스위치문과 봇!

악성코드 중 봇 기능을 수행하는 악성코드들이 많이 있다. 

이런 봇기능을 수행하는 악성코드들은 C&C에서 명령을 받고 명령에 따라 수행하는데 . 이때 스위치 문을 많이 쓰게 된다.

물론 IF문을 사용할때도 있지만 스위치와 IF문의 특성을 고려해서 스위치문을 많이 사용하는 듯하다.

악성코드를 분석 하면 스위치문은 다음과 같은 특성을 가지게 된다. 

점프문이 가리키는 오프셋을 확인해 보면

위와 같이 점프로 이동 될수 있는 주소값들이 있고 이곳으로 선택 되어 조건을 실행 시킨다.

#물론 스위치문이 있다고 다 봇은 아니다. 스위치문으로 들어가기전 C&C와의 통신을 통해 명령을 받아야 하고 받은 명령어가 악의 적인 행위를 해야 악성코드로 볼수 있다. 스위치문은 누구나 쓸수 있으니까. ㅋㅋㅋ