33일차 파이썬 백신개발 -8

WinHex로 한글파일을 열어보면 OLE 파일은 '4F 00 4C 00 45'이고, BIN 파일은 '42 00 49 00 4E' 이다.

 

고민해봤을 때, OLE파일을 모두 무해화를 하기 위해서는 모든 OLE파일의 값을 0으로 변경하면 된다는 생각이 들었다.

 

우선은 olefile 모듈을 이용해 OLE파일의 값을 0으로 치환할 수 있는지 확인해봤다.

 

 

위의 코드를 실행해서 SSViewer로 파일을 열어 제대로 값이 바뀌었는지 확인해봤다.

 

성공적으로 값이 변경이 됬으며, OLE 스트림이 무해화가 된 것을 확인할 수 있었다.

 

이제 고민해야할 부분은

1. OLE 객체의 바이너리 값을 Hex 값을 통해 찾아서 전체 무해화를 할 수 있는가?

2. 각각의 스트림을 비우는게 아니라 BinData의 스토리지 안의 스트림 전체를 비울 수 있는가?