전체 글169 악성코드가 사용하는 레지스트리 정보 (펌) 레지스트리란레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 일종의 설정값의 모임이라 볼 수 있다. 과거에는 .ini 파일을 사용하여 이런 설정 정보를 저장했는데 파일이 여러 곳에 나눠져 있어 한곳에 모을 필요가 있었고, 그에따라 생긴 기능이라고 한다. 흔히 regedit.exe 를 통해접근하는 윈도우 레지스트리는 실제론 하이브 파일에 저장되어있다. 하이브 파일은 여러 폴더에 분산 저장되어 있고, 휘발성 비휘발성 등 여러 특징들이 있다.이 포스트에서는 여러 레지스트리 중, 악성코드들이 접근할 만한 레지스트리에 대해 중점적으로 다룬다. 레지스트리 표현 방법regedit.exe 의 내보내기 기능을 활용하면 .reg 파일이 생성된다. 이 파일을 메모장으.. 2018. 7. 23. 2018년 코드엔진 발표를 마치며 언제부터인가 코드엔진이 연1회로 변경되었다. 아마 주최자님께서 힘드셔서 그런것같다. 내 발표는 제일 마지막 순서가 되었다. 이런 발표경험이 거의 전무하여 이것이 좋은것인지 나쁜것인지 알 수가 없었다. 하기전까지는..발표 리스트중에 "이더리움 보안 취약점 연구" 에만해도 사람이 많다고 느껴졌었다. 그리고 그 발표가 끝나고 쉬는시간에 나는 저들이 화장실을 가는것이라고 생각했다.....!! 근데 그분들은 대부분 가방을 메고있었다. 화장실을 가방을 메고갈리 없지.. 이더리움으로 한몫챙기려는 분들이 많이오셨나보다. 그러나! 발표당일 보강을 진행할 수 있었다는점과 사람이 오히려 적어서 덜긴장했다는점? ㅎㅎㅎ 나에겐 매우 좋은 경험이 되었고 게임핵에 대해서 떠들 수 있었어서 너무 즐거웠다. 이제 다음해부터는 무료로 .. 2018. 7. 16. [Python] 멀티 프로세스,멀티 쓰레드 예제코드 import struct import time import threading import pycurl import re import os from StringIO import StringIO from multiprocessing import Process,current_process,Pool,freeze_support up= lambda x:struct.unpack("L",x) #Little Endian class KMS(threading.Thread): def __init__(self): threading.Thread.__init__(self) def run(self): print "Call Thread" def mp(number): #proc_name = current_process().name re.. 2018. 7. 16. x32 themida binary debugging in x64 machine 2부 관련된 포스팅으로 2년전에 작성했었다. 보러가기 그런데 최근에 악성코드 샘플을 분석하는 도중 더미다 패커로 패킹된것으로 보였는데 최신 버전으로 패킹이 되어 있는지 "OllyDBG" + "StrongOD" 조합으로도 실행조차 불가능했다. XP에서 하면될까 싶었지만 XP환경에서는 실행조차 되지 않는 샘플이었다. Windows 7 이상의 운영체제에서 더미다 패킹된 바이너리를 디버거와 함께 올리는 방법. 그게 필요했다.나는 여러 플러그인들을 뒤적뒤적거렸고 그것에 대한 결과물을 여기에 담기로했다. 1. TitanHide TitanHide는 커널모드에서 안티 디버깅을 우회해주는 모듈이다. 커널단에서 동작하기 때문에 드라이버파일(TitanHide.sys)과 함께 동작.. 2018. 5. 10. 이전 1 ··· 7 8 9 10 11 12 13 ··· 43 다음 반응형
