악성코드의 함수를 살펴보고 흐름을 파악하기 위해 IDA로 열어서 코드를 확인한다. start 후 _CorExeMain으로 건너뜀._CorExeMain : .NET 프로그램 실행 시 필요한 환경 제공하는 구성 요소(=런타임 진입점) 그리고 왼쪽에 함수 이것저것 보이고 난독화 의심됨. CorExeMain 함수 분석하기 위해 더블클릭함. dd = download word, 반복적으로 보임. 쭉 내려도 dd와 16진수값만 반복해서 보이다가 마지막은 아래처럼 나온다. 1번째 사진 보면push ebp랑 mov ebp, esp : 스택 프레임 설정(함수 때문에 발생)mov eax, [ebp+10h] : 함수 파라미터 읽기cmp dword ptr [eax+4], 0CEA1D70h : 메모리에 있는 값이랑 상수 값 비교..