리버싱46 악성코드가 사용하는 레지스트리 정보 (펌) 레지스트리란레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 일종의 설정값의 모임이라 볼 수 있다. 과거에는 .ini 파일을 사용하여 이런 설정 정보를 저장했는데 파일이 여러 곳에 나눠져 있어 한곳에 모을 필요가 있었고, 그에따라 생긴 기능이라고 한다. 흔히 regedit.exe 를 통해접근하는 윈도우 레지스트리는 실제론 하이브 파일에 저장되어있다. 하이브 파일은 여러 폴더에 분산 저장되어 있고, 휘발성 비휘발성 등 여러 특징들이 있다.이 포스트에서는 여러 레지스트리 중, 악성코드들이 접근할 만한 레지스트리에 대해 중점적으로 다룬다. 레지스트리 표현 방법regedit.exe 의 내보내기 기능을 활용하면 .reg 파일이 생성된다. 이 파일을 메모장으.. 2018. 7. 23. x32 themida binary debugging in x64 machine 2부 관련된 포스팅으로 2년전에 작성했었다. 보러가기 그런데 최근에 악성코드 샘플을 분석하는 도중 더미다 패커로 패킹된것으로 보였는데 최신 버전으로 패킹이 되어 있는지 "OllyDBG" + "StrongOD" 조합으로도 실행조차 불가능했다. XP에서 하면될까 싶었지만 XP환경에서는 실행조차 되지 않는 샘플이었다. Windows 7 이상의 운영체제에서 더미다 패킹된 바이너리를 디버거와 함께 올리는 방법. 그게 필요했다.나는 여러 플러그인들을 뒤적뒤적거렸고 그것에 대한 결과물을 여기에 담기로했다. 1. TitanHide TitanHide는 커널모드에서 안티 디버깅을 우회해주는 모듈이다. 커널단에서 동작하기 때문에 드라이버파일(TitanHide.sys)과 함께 동작.. 2018. 5. 10. 응용프로그램에서 출력되는 https 패킷 까기 http에서 https로 많이 넘어가는 만큼, 앞으로는 WireShark를 사용하더라도 보지 못하는 패킷이 많아질것으로 생각된다. 일단 테스트코드만 아래와 같이 올린다. cert_reqs=ssl.CERT_NONE 으로 설정함으로서 CA 에 인증되지 않은 키라고 하더라도 성공적으로 MITM 에 성공한다. 도메인은 wireshark로 따서 hosts를 조작하던가 리버싱을 통해 connect호출하는 부분의 IP를 바꾸자 ㅋㅋ import socket, ssl import time import json import ast bindsocket = socket.socket() bindsocket.bind(('', 9997)) bindsocket.listen(5) def do_something(connstream, .. 2018. 3. 7. D3D 후킹? 월핵? 원리가 뭔데? 제목에는 화면제어라고 적었으나 "D3D를 후킹해 월핵을 써보자!" 하고 다른것은 없다. 하지만 많이 민감한 부분인 만큼 Reversing.kr 의 DirectX FPS 게임 문제를 이용해서 진행하고자 한다. (원리를 기억하기 위해 적어놓는거니까!) Reversing.Kr 에서 찾아볼 수 있는 이 문제는 메모리에 키가 암호화되어 있고 한마리를 잡을 때마다 한자리씩 복호화 된다. 하지만 벽뒤에 있어 보이지도 않는 몹들이 많다. 하지만 다른 방법을 찾아서 풀 수 있는 문제다. 근데 이 문제의 이름은 DirectX FPS 게임인만큼 우리가 테스트해보기에 좋은 재료(?)다. ---------------------- Direct3D란? Direct3D는 마.. 2018. 2. 6. 이전 1 2 3 4 5 6 7 ··· 12 다음 반응형
