쿨캣의 블로그 놀이

VMMap으로 프로세스에 숨겨진 수상한 스레드(코드)를 찾을 수 있습니다. https://xcoolcat7.tistory.com/91343 VMMap ... 메모리 구조 보기* VMMap   https://learn.microsoft.com/ko-kr/sysinternals/downloads/vmmap VMMap - SysinternalsVMMap은 프로세스 가상 및 실제 메모리 분석 유틸리티입니다.learn.microsoft.com  프로세스 익스폴로러는 메모리 구조까지xcoolcat7.tistory.com 하지만, 의심스러운 프로세스를 하나하나 확인할 수도 없고, 이런 과정을 자동으로 해주는 도구는 없을까요 ?  바로, hollows_hunter 입니다. * hollows_hunter    https..

* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다.  . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternals프로세스가 열어 둔 어떤 파일, 레지스트리 키, 기타 개체, 로드한 DLL 등을 찾으세요.learn.microsoft.com    악성코드 분석용은 프로세스 익스플로러보다 프로세스 해커를 더 즐겨 사용합니다.다만,프로세스 해커는 2016년이 마지막 버전입니다. . Process Hackerhttps://processhacker.sourceforge.io/ O..

Autoruns는 자동실행되는 프로그램을 보여줍니다.  https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns Windows용 자동 실행 - Sysinternals시스템이 부팅되고 로그인할 때 자동으로 시작되도록 구성된 프로그램을 확인하세요.learn.microsoft.com파일은 아래주소에서 다운로드 받을 수 있습니다. https://download.sysinternals.com/files/Autoruns.zip  * 사용법 32비트는 Autoruns.exe, 64 비트는 Autoruns64.exe를 실행하면됩니다.  의심가는 파일은 '붉은색'으로 표시됩니다.하지만, 업데이트 등으로 파일이 변경될 경우에도 색이 바뀔 수 있어 함부로 삭제하면..

분석을 하기 전에 먼저 파일 종류를 파악해야합니다.익숙한 파일의 경우 헥사 파일 뷰어로 열어보면 바로 어떤 파일 포맷인지 알 수 있습니다. * 파일 종류  file 리눅스, 맥에 포함되어 있습니다.  다음 프로그램은 chatGPT 에서 추천해준 내용입니다. .  TrID https://mark0.net/soft-trid-e.html Marco Pontello's Home - Software - TrIDQuesta pagina in italiano (Last updated: 01/12/24)     TrID - File Identifier TrID is an utility designed to identify file types from their binary signatures. While there a..

파일을 분석하기 위해서는 파일 종류부터 파악해야 합니다.윈도우 실행 파일 (Portable Executable) 종류도 다양합니다. PE 파일 종류에 따라 분석 방법이 달라질 수도 있어 PE 파일 종류를 파악하는게 중요합니다.  * PEiD PEiD가 가장 유명하지만, 2006년에 마지막 버전이 나온 오래된 프로그램입니다.    최근 PE 파일은 인식하지 못할 수 있습니다.  * Exeinfo PEExeinfo PE 는 PEiD와 비슷합니다.  http://www.exeinfo.byethost18.com/?i=1 로그인 또는 가입하여 보기Facebook에서 게시물, 사진 등을 확인하세요.www.facebook.com   2016년 UI입니다. 2024년 UI도 크게 달라지지는 않았습니다. 마지막 버전이 ..

IDA Pro 디스어셈블 내용을 보면 종종 OPCODE 값이 표시되었으면 합니다.  * 옵션 변경  'Options' -> 'General' -> 'Number of opcode bytes' 를 수정해 주면 됩니다.(초기 0 )  OPCODE 가 표시됩니다.    하지만, 매번 변경하기 귀찮습니다.  * IDA.CFG 설정 변경 매번 OPCODE가 표시하려면 IDA.CFG 파일을 수정하면 됩니다. C:\Program Files\IDA Pro 8.4\cfg\ida.cfg 파일을 열어 OPCODE_BYTES 값을 수정해줍니다.    이 값을 변경해주면 매번 수정할 필요 없습니다.

Windows XP에서는 디버깅할 때 PE 파일 베이스 주소가 일정해 IDA 의 디스어셈블 내용과 비교하면서 볼 수 있습니다. 하지만, Windows 7 이상에서는 보안 기능 때문에 로드되는 PE 파일의 BASE가 매번 변경합니다. 그래서 32비트 파일 분석할 때는 Windows XP에서 디버깅했지만 요즘은 Windows XP에서 로드 안되는 32비트 파일도 나오고 64비트 악성코드도 점차 늘어나고 있습니다. 디버거와 IDA Pro 의 베이스주소가 달라 양쪽을 다보는 경우 주소 때문에 불편합니다. (계산해도 됩니다만.... 그건 좀) 해결 방법은 다음과 같습니다. 방법 1) IDA Pro Image base 변경 IDA Pro에서 'Edit' -> 'Segments' -> 'Rebase Program'으..

고전 게임은 네트워크 단절된 윈도우 XP에서 하는데 파일을 다운로드 받았는데 압축 해제가 안됩니다. 처음에는 분할 압축을 인식 못하는걸까 리눅스에서도 풀어봤지만 안 풀립니다. 다른 컴퓨터의 최신 버전에서 압축을 해제하려고하니 암호를 물어봅니다. 암호가 걸려있어 안풀렸고 아마 구버전에서는 잘못된 파일이라고 인식했나봅니다. 암호가 뭔가해서 파일을 다운로드 한 고전게임 블로그를 검색했지만 찾을 수 없었습니다. (없거나 못 찾았거나...) 고전게임 실행기가 떠올랐습니다. 'URL 만 지정해주면 파일을 다운로드하고 실행까지해주니 프로그램 안에 암호 키가 내장되어 있겠구나...' 파일을 확인해보니 닷넷으로 작성되어 있습니다. 닷넷으로 작성된 파일은 dnspy로 코드를 보면 됩니다 전반적인 코드 흐름을 살펴보고 당연..

외부 인터넷과 연결되어 있지 않으면 Adobe Flash 다운로더로 설치 할 수 없습니다.또 Flash 파일을 분석하기 위해서 과거 버전이 필요한 경우가 있습니다. 다음 사이트에서 다운로드 하면 됩니다. https://www.adobe.com/support/flashplayer/debug_downloads.html 다양한 버전은 다음 주소에서 다운로드 받을 수 있습니다. https://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

IDA 디컴파일러(F5)로 디컴파일 하다보면 가끔 스택 문제도 실패하는 경우가 있습니다. 'Decompilation failure: xxxxxx: positive sp value has been found" 오류가 발생한 주소 앞 (여기서는 0x401018)으로 가서 [Alt + K] 로 Chage SP value 를 실행합니다. 이 값을 Current SP value 와 맞춰주면 됩니다. 다시 F5로 디컴파일 해보면 디컴파일된 내용이 나옵니다.

Serenia 는 1982년 만들어진 어드벤쳐 게임입니다.이때 어드벤쳐 게임은 상당수 텍스트인데 간단하지만 그림도 나오는 어드벤쳐 게임입니다. IBM 버전이 만들어 졌을 때 아직 MS-DOS(IBM에서는 PC-DOS)가 완전히 시장을 차지 않았을테고 도스 게임 중에는 도스(!)를 직접 탑재한 게임도 있었습니다. 이 게임도 자체 부팅 기능이 있습니다. 부트 이미지네요.일반적인 부트 이미지는 아닙니다. FAT 영역입니다. ROOT 입니다.여러 파일이 보이네요. 어셈블리로 게임 만들었을까요 ? 보통 DOSBox에서는 이런 디스크 이미지는 별도 방법으로 실행해야 합니다. 하지만 제가 구한 게임 버전은 그냥 SERENIA.COM만 실행하면 됩니다. 원리가 어떻게 될까요 ? 한번 분석해 봤습니다.(전부다 본건 아니..

인터넷을 검색해봐도 IDA를 이용한 원격디버깅 방법을 자세히 설명한게 없어 한번 작성해 봤습니다. 도움되었으면 합니다. ---------------- IDA는 원격 디버깅 기능으로 네트워크가 연결될 경우 다른 OS의 파일을 디버깅 할 수 있다. 하지만, 테스트 결과 Windows IDA로 Mac 실행 파일을 Windows IDA로 디버깅 할 경우 오류가 잦아 Mac IDA로 디버깅 하라는 조언을 받았다. 따라서, Mac의 가상 머신(여기서는 VMware Fusion 이용)에 OS X을 설치하고 원격 디버깅하는 방법을 선택했다. 실제 Mac 1. 실제 Mac 시스템에 IDA Pro 설치 원격 Mac (가상머신) 원격 디버깅 대상이 되는 시스템 (여기서는 VMware Fusion에 OS X 10.7 Lion..

2011년 6월 6일(화) 새벽 1시쯤 쇼설커머스에 뭔가 올라왔나 싶어 접속했는데 모유명 쇼설커머스 사이트가 너무 지연되더군요. 그래서, 시간도 늦게해서 아침에 일어나서 사이트에 접속했더니 http://www.laaan.cn 사이트가 계속 뜨는 겁니다. 직감적으로 이건 해당 쇼설커머스에 뭔가 일이 생겼다고 느꼈죠. 한번 분석을 진행해 봤습니다. - 그나저나 네트워크 분석은 잘 안해봐서 많이 지연되었네요. 이걸 전문적으로 하는 사람들은 정말 빨리 찾았을텐데 말이죠. 1. laaan.cn 우선 문제의 laaan.cn 사이트를 검색해 봤습니다. 문의가 꽤 많더군요. 사이트에 가보니 플래쉬 파일 암호화 사이트 같습니다. (중국어라...) 2. Wireshark로 패킷을 떴죠. 저는 인터넷을 VMWare에서만 진..

콘솔용 MD5 얻는 프로그램입니다. 사용방법은 md5sum *.* 같이... 하위 폴더 검사 등... 어떤것도 지원하지 않는.. 순수(?) MD5 계산 프로그램입니다. PATH에 넣어두고 콘솔용으로 하면 편합니다.

Virtual PC 2007 SP1 은 마이크로소프트사의 가상 시스템 프로그램입니다. 무료라 악성코드 테스트 시스템에서 주로 이용했죠. 하지만, 최신 시스템 (회사 테스트 컴퓨터와 새로 구매한 집 컴퓨터)에서는 문제를 일으킵니다. 회사 테스트 컴퓨터의 경우 가상머신 창을 닫을 때 오류가 발생하고 집 컴퓨터에서는 사용하다가 가상화 프로그램 자체가 응답 없음이 되어버리더군요. 보다 원활한 작업을 위해서 VMware를 구매했고 테스트를 했는데 역시 상용 제품이 좋네요. 제품에는 Virtual PC의 이미지를 읽을 수 있다고 되어 있지만 제가 사용한 이미지는 읽을 수 없어 다시 윈도우를 설치했습니다. 특히 스냅샷 기능은 참 편리합니다. 하지만, VMware 를 실행 중일 때 Virtual PC 를 실행하면 오류..

* 키로거 키로거(Keylogger)는 키입력 내용을 기록하는 프로그램이다. 키로거가 기업에서 직원이나 부모가 아이들을 모니터링하기 위해 사용되지만 누군가 개인 사생활을 파악하기 위해서 악용되기도 한다. * 후킹 흔히 사용되는 키로깅 방식은 윈도우 API인 SetWindowsHookEx를 이용한 글로벌 메시지 훅과 드라이버를 이용한 키보드 후킹이 있다. SetWindowsHookEx( Int idHook, // 훅 종류 HOOKPROC lpfn, // 지정한 이벤트 발생시 처리하는 프로시저 주소 HINSTANCE hMod, // lpfn이 있는 DLL 의 시작 첫주소 DWORD dwTreadID // Thread ID }; idHook 에 해당하는 내용은 다음과 같으며 악성코드는 보통 02(키보드), 0..

오늘 Hiew 제작자로부터 Hiew 8.00 파일과 그 파일을 해제할 수 있는 암호키, 라이센스 키를 받았습니다. Hiew는 구매하고 2달 후(제작자에게 돈이 입금된 후) 최신 버전을 보내줍니다. 8.00 버전은 ARMv6 디스어셈블 기능이 추가된거 외에는 이전 버전하고 크게 달라진건 잘 모르겠네요. * Hiew history: 8.00 ( 29 Jan 2009 ) - ARMv6 disassembler - "ArmCodeDetection = On/Off" in ini-file - Xor string (Edit/F8) is back! - Names shift offset (F12/F6) - Names export (F12/Shift-F12) - PE section rva/offset correction (..