| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 소프트웨어보안
- 네트워크보안
- 웹해킹
- 리버싱
- 해킹
- Webhaking
- 소프트웨어
- 알고리즘
- 비박스
- webhacking
- 드림핵
- bee-box
- hacking
- dreamhack
- 웹
- ftz
- 모의해킹
- System
- network
- CodeEngn
- 네트워크
- reversing
- 시스템해킹
- WarGame
- Web
- XSS
- 워게임
- 순서도
- 시스템
- TCP
- Today
- Total
목록분류 전체보기 (236)
Without a Break
기초 정적 분석 - Lab01-03.exe
1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? FSG로 패킹되어 있다. VMUnpacker를 사용해 언패킹을 해줬다. 언패킹한 파일을 확인해보니 Microsoft Visual C++에서 작성된 것을 확인할 수 있었다. 3) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? 언패킹한 파일을 VirusTotal로 열어준다. ole32.dll의 CoCreateInstance는 기본 초기화된 instance 생성한다. 4) 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가? URL이 있는 것을 보아 해당 ..
기초 정적 분석 - Lab01-02.exe
1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성 코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? EP Section을 보니 UPX로 패킹되었음을 알 수 있다. upx를 언패킹하고, 다시 확인해보면 microsoft visual C++로 컴파일 되었음을 알 수 있다. 3) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? ADVAPI32.dll의 CreateService는 서비스 오브젝트를 작성하여 지정된 서비스 제어 관리자의 데이터베이스에 추가하는 함수이다. 또, WINNET.dll에 InternetOpen 함수가 있는데, 이는 URL을 통해 데이터를 받아오는 함수이다. 이를 보..
기초 정적 분석 - Lab01-01.exe, Lab01-01.dll
1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성 코드로 판별된다. 2) 이 파일의 컴파일 시점은? Lab01-01.exe의 컴파일 시점은 2010년 12월 19일 16시 16분 19초이다. (UTC 기준) Lab01-01.dll의 컴파일 시점은 2010년 12월 19일 16시 16분 38초이다. (UTC 기준) 이를 보아 exe를 만들자마자 컴파일이 됐음을 알 수 있다. 3) 패킹이나 난독화의 흔적이 있는가? 이유는? 패킹이나 난독화의 흔적은 PEiD에서 확인할 수 있다. 왼쪽이 Lab01-01.exe, 오른쪽이 Lab01-01.dll이다. 둘 다 Microsoft Visual C++로 컴파일 된 것을 보아 패킹이나 난독화의 흔적은 없다. 4) ..
PE 파일헤더와 섹션
PE 파일헤더와 섹션 .text CPU가 실행하는 명령어인 실행 가능한 코드 포함 .rdata 임포트와 익스포트 정보 포함, 읽기 전용 데이터 저장 idata, .edata 포함 : 임포트, 익스포트 정보 저장 .data 프로그램의 전역데이터 저장 .rsrc 아이콘, 이미지, 메뉴, 문자열 등 실행파일에서 사용하는 리소스 실행 영역 설명 .text 실행 코드를 담고 있음 .rdata 프로그램 내의 전역에서 접근 가능한 읽기 전용 데이터를 담고 있 음 .data 프로그램을 통해 접근 가능한 전역 데이터를 저장함 idata 존재 시 임포트 함수 정보를 저장하고 있으며, 존재하지 않는다 면 .rdata 섹션 내의 임포트 함수 정보에 저장됨 .edata 존재 시 익스포트 함수 정보를 저장하고 있으며, 존재하지 ..
기초 정적 분석
안티바이러스 스캐닝 악성코드 탐지(기본) 패턴 매칭 분석 : file signatures heuristic : 변조, 신종 등 악성코드 실행 및 탐지 http://www.virustotal.com http://www.virscan.org https://virusscan.jotti.org VirusTotal 실습 해시 해시 : 악성/정상 코드의 고유 값 SHA-1, MD5 Md5deep(CUI), WinMD5(GUI) http://md5deep.sourceforge.net/ http://www.winmd5.com/ 해시 검증 해시를 이름으로 사용 악성코드 식별을 위해 해시 공유 식별여부를 온라인에서 검색 https://www.virustotal.com/gui/home/upload VirusTotal www..
crackme #5
exe 파일을 실행하면 위와 같이 시리얼을 입력하게 되어있고, 입력 후 시리얼이 틀렸다는 문구가 뜬다. text string을 확인하면 올바른 시리얼을 입력했을 때 뜨는 문구가 있다. 해당 위치로 이동하면 문자열을 비교하는 부분이 있는데, 이를 확인하면 위와 같이 올바른 시리얼과 비교하는 것을 알 수 있다. 시리얼을 입력해보면, 올바른 시리얼임을 알 수 있다.
crackme #4
crackme4 실행 파일을 실행하면 시리얼을 입력하는 창이 나온다. 올바른 시리얼을 찾는 것임을 알 수 있다. 전체 모듈을 살펴보자 전체 모듈을 살펴보면 문자열을 비교하는 함수가 있는 것을 알 수 있다. 해당 위치로 이동하여 브레이크 포인트를 걸어주고, 엔트리 포인트로 돌아와 코드를 실행한다. 문자열에 아무거나 입력해주고, 계속 진행을 하다보면 브레이크 포인트의 위치로 온다. 이 때, 레지스터 값의 변화를 잘 보면 “2145440” 문자열과 비교하는 것을 알 수 있다. 이를 입력하면 올바른 시리얼임을 알 수 있다.
PE 파일 구조
PE (Portable Excutable) 파일 Win32 기본파일 형식 exe, scr, sys, dll, ocx 등 Process : EXE + DLL 실행과정 PE 파일 실행 PE 헤더 정보를 메모리에 매핑 실제 프로세스를 위한 메모리 할당 섹션 정보를 메모리에 복사 Import 정보 처리 기준 재배치 처리 실제 프로그램 코드로 분기 https://learn.microsoft.com/ko-kr/windows/win32/debug/pe-format PE 형식 - Win32 apps 이 사양은 Windows 운영 체제 제품군에 있는 실행 파일(이미지) 파일 및 개체 파일의 구조를 설명합니다. 이러한 파일은 각각 PE(이식 가능한 실행 파일) 및 COFF(공용 개체 파일 형식) 파일이라고 합 learn...