외부 인터넷과 연결되어 있지 않으면 Adobe Flash 다운로더로 설치 할 수 없습니다.

또 Flash 파일을 분석하기 위해서 과거 버전이 필요한 경우가 있습니다.



다음 사이트에서 다운로드 하면 됩니다.


https://www.adobe.com/support/flashplayer/debug_downloads.html







저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

 

인터넷을 검색해봐도 IDA를 이용한 원격디버깅 방법을 자세히 설명한게 없어 한번 작성해 봤습니다.

 

도움되었으면 합니다.

 

----------------

 

IDA는 원격 디버깅 기능으로 네트워크가 연결될 경우 다른 OS의 파일을 디버깅 할 수 있다. 하지만, 테스트 결과 Windows IDAMac 실행 파일을 Windows IDA로 디버깅 할 경우 오류가 잦아 Mac IDA로 디버깅 하라는 조언을 받았다. 따라서, Mac의 가상 머신(여기서는 VMware Fusion 이용)OS X을 설치하고 원격 디버깅하는 방법을 선택했다.

 

실제 Mac

 

1.     실제 Mac 시스템에 IDA Pro 설치

 

원격 Mac (가상머신)

 

원격 디버깅 대상이 되는 시스템 (여기서는 VMware Fusion OS X 10.7 Lion 설치)에 몇 가지 설정이 필요하다.

 

1.     mac_server, mac_serverx64 복사

 

본 테스트에서는 [사용자]\Util mac_server mac_serverx64를 복사했다.

해당 파일은 설치된 IDA에서 찾을 수 있다.


 

2.     권한 변경

 

OS X에서 원격 디버깅을 위해 권한 설정이 필요하다.

 

 

  

 

chgrp procmod mac_server chmod g+s mac_server으로 권한을 변경한다. 이때 관리자 권한이 필요하므로 sudo 명령 등으로 실행 한다.

 

 

 

이 과정은 한번만 하면 된다.

 

3.     mac_server로 포트 열기

 

관리자 모드에서 mac_server를 실행해(sudo ./mac_server)  외부에서 접속할 수 있게 포트를 열어둔다. 분석 대상 파일이 64 비트일 경우 mac_serverx64를 실행한다. 포트가 열릴 때까지 보통 몇 초 정도 걸린다.

 

 

 

원격 디버깅 방법

 

IDA가 설치된 실제 Mac 시스템에서 원격 디버깅 대상 시스템에 접속한다.

 

1.     IDA‘Debugger’ 메뉴에서 ‘Run’을 선택해 디버깅 대상 파일 설정

 

포트가 제대로 열렸을 경우 실제 Mac에 설치된 IDA에  Debugger Run Attach 메뉴가 활성화된다. 원격 대상 시스템이 OS X이므로 ‘Remote Mac OS X debugger’를 선택한다.

 

 

 

Application에 디버깅 대상 파일을 지정하는데 이때 디렉토리 위치까지 지정해 줘야 한다.만약 파일이름만 지정한 경우 mac_server가 실행된 디렉토리에서 파일을 찾는다.

 

 

 

2.     제대로 연결되면 디버깅 가능

 

이제부터 본인의 디버깅 능력에 달려있다.

 

 

 

 

주의 사항

 

1.     디버깅 대상 파일에 맞는 IDA 버전을 이용

 

32 비트 실행 파일은 mac_server 32비트 IDA 64 비트 파일은 mac_serverx64 64비트 IDA를 실행해야 한다.

 

만약 분석 대상이 64비트인데 mac_server를 실행 후 원격 디버깅하면 파일 종류가 맞지 않아 ‘Warning: bad file or could not find a member with matching cpu type

Error: oops! Internal error 618’ 등과 같은 오류가 발생한다.

 

 

 

 

 

 

참고자료

[1] http://www.hex-rays.com/products/ida/debugger/mac/index.shtml

신고
Posted by mstoned7

댓글을 달아 주세요

  1. 2013.02.01 05:12  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. Inez 2014.10.13 14:30 신고  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 블로그 글 보고 os x 악성코드 분석 따라해보고 있는데요 :)

    윈도우에 있는 IDA 에서 가상머신에 설치한 맥 app을 디버깅하려 하면
    handle_process_start error 경고창이 뜹니다.
    방화벽 문제인가 싶어 방화벽 양쪽 다 끄고 해도 마찬가지이고요.

    가상머신에 IDA 를 올리고 맥 app을 디버깅해도 같은 결과가 나타납니다.

    도와주세요 ㅠㅠ

  3. Inez 2014.10.16 23:11 신고  댓글주소  수정/삭제  댓글쓰기

    헙... 그렇군요 ㅠㅠ

콘솔용 MD5 얻는 프로그램입니다.


사용방법은 md5sum *.* 같이...


하위 폴더 검사 등... 어떤것도 지원하지 않는..
순수(?) MD5 계산 프로그램입니다.

PATH에 넣어두고 콘솔용으로 하면 편합니다.
신고
Posted by mstoned7
TAG md5, MD5SUM

댓글을 달아 주세요

  1. 덕덕 2014.10.17 16:33 신고  댓글주소  수정/삭제  댓글쓰기

    감사합니다!

Virtual PC 2007 SP1 은 마이크로소프트사의 가상 시스템 프로그램입니다.

무료라 악성코드 테스트 시스템에서 주로 이용했죠.
하지만, 최신 시스템 (회사 테스트 컴퓨터와 새로 구매한 집 컴퓨터)에서는 문제를 일으킵니다.

회사 테스트 컴퓨터의 경우 가상머신 창을 닫을 때 오류가 발생하고 집 컴퓨터에서는 사용하다가 가상화 프로그램 자체가 응답 없음이 되어버리더군요.

보다 원활한 작업을 위해서 VMware를 구매했고 테스트를 했는데 역시 상용 제품이 좋네요.
제품에는 Virtual PC의 이미지를 읽을 수 있다고 되어 있지만 제가 사용한 이미지는 읽을 수 없어 다시 윈도우를 설치했습니다.


특히 스냅샷 기능은 참 편리합니다.

하지만, VMware 를 실행 중일 때 Virtual PC 를 실행하면 오류가 발생합니다.
두 프로그램을 함께 사용해서는 안될 듯 합니다.


신고

'Reverse Engineering > 분석도구' 카테고리의 다른 글

OS X에서 IDA를 이용한 원격 디버깅  (5) 2013.01.17
MD5 값 얻기  (1) 2009.12.15
가상화 프로그램 Virtual PC vs VMware  (2) 2009.10.12
헥사에디터 : Hiew 8.00  (0) 2009.07.16
SysTracer - 시스템 변화 추적 시스템  (1) 2009.05.31
헥사 에디터 HIEW  (6) 2009.05.23
Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2009.10.13 11:11 신고  댓글주소  수정/삭제  댓글쓰기

    회사에서 VMware 구매를 안해주나요?ㅎ

    어제인가 블로그 글을 보니 어떤 분이 VMware 7.0 리뷰 글을 올리셨든데, 아직 베타 버전인가 봐요?



오늘 Hiew 제작자로부터 Hiew 8.00 파일과 그 파일을 해제할 수 있는 암호키, 라이센스 키를 받았습니다.

Hiew는 구매하고 2달 후(제작자에게 돈이 입금된 후) 최신 버전을 보내줍니다.

8.00 버전은 ARMv6 디스어셈블 기능이 추가된거 외에는 이전 버전하고 크게 달라진건 잘 모르겠네요.

* Hiew history:


8.00 ( 29 Jan 2009 )
- ARMv6 disassembler
- "ArmCodeDetection = On/Off" in ini-file
- Xor string (Edit/F8) is back!
- Names shift offset (F12/F6)
- Names export (F12/Shift-F12)
- PE section rva/offset correction (F8-F6-F5/F6)
- FIX: Some disassemblers fixes
- FIX: HEM: no set mode for HEM_RETURN_FILERELOAD

Windows CE 바이러스를 한번 디스어셈블 해봤습니다.

* 감염되기 전 파일


* 감염된 후 화면 (*.exe 파일 보임)


하지만, ARM v6 명령어를 안본지 오래되어서 명령어가 가물가물하네요.

신고

'Reverse Engineering > 분석도구' 카테고리의 다른 글

MD5 값 얻기  (1) 2009.12.15
가상화 프로그램 Virtual PC vs VMware  (2) 2009.10.12
헥사에디터 : Hiew 8.00  (0) 2009.07.16
SysTracer - 시스템 변화 추적 시스템  (1) 2009.05.31
헥사 에디터 HIEW  (6) 2009.05.23
헥사 에디터 : HE  (8) 2009.05.22
Posted by mstoned7

댓글을 달아 주세요


http://www.blueproject.ro/systracer

악성코드를 분석하기 위해서는 변경되는 파일과 레지스트리 등을 모니터링 해야한다.
개별 프로그램을 이용해도되지만 변화를 한꺼번에 보여주는 프로그램이 존재한다.

SysTracer 도 그런 프로그램 중 하나이다

SysTracer can scan your system and record information about:

  • changed files and folders
  • modified registry entries
  • system services
  • system drivers
  • applications that are configured to run at computer startup
  • running processes
  • loaded dlls

다만 상용 프로그램이다.

신고
Posted by mstoned7

댓글을 달아 주세요

  1. 자유팀노즈 2011.06.26 00:33 신고  댓글주소  수정/삭제  댓글쓰기

    좋은자료 감사합니다. 악성코드의 행동을 바로바로 볼수있겠네요 ㅎ

다양한 헥사 에디터가 존재하지만 그중 가장 사랑 받는 제품은 단연 HIEW 이다.

- 홈페이지 : http://www.hiew.ru/
- 제작자 : Eugene Suslikov (sen@kemtel.ru)
- 가격 : 1년 64 달러
            평생 199 달러

HIEW로 파일을 읽으면 아래와 텍스트 모드로 나온다.
(설정 파일에서 변경 가능)


엔터를 입력하면 헥사 모드로 변환된다.


다시 엔터를 입력하면 디스어셈블을 볼 수 있다.

push, call, jmp 등의 숫자를 입력하면 해당 주소로 입력하고 백스페이스를 입력하면 다시 돌아온다.


악성코드 분석자 채용에 HIEW와 IDA 사용에 능숙한 사람이 있을만큼 이 프로그램은 널리 사랑받고 있다.



Hiew history:


8.00 ( 29 Jan 2009 )
- ARMv6 disassembler
- "ArmCodeDetection = On/Off" in ini-file
- Xor string (Edit/F8) is back!
- Names shift offset (F12/F6)
- Names export (F12/Shift-F12)
- PE section rva/offset correction (F8-F6-F5/F6)
- FIX: Some disassemblers fixes
- FIX: HEM: no set mode for HEM_RETURN_FILERELOAD


7.61 ( 15 Aug 2008 )
- warning for invalid sections count
- FIX: crash for 'wild' size of import
- FIX(7.50): for ShortImmed=Off 'int 3' shows as 'int 0'
- FIX: no show export for files without field 'Address of ordinals'
- FIX: PE non-standart sections
- "BlockLengthShowAlways = On/Off" in ini-file


7.60 ( 15 May 2008 )
- FIX(7.50): invalid offset for basing
- "ShortImmed = On/Off" in ini-file, Alt-T in code
- Elf64 added
- find/scan percentage added in console title


7.50 ( 29 Jan 2008 )
- name (ShiftF12/F12) for address in hex-, decode modes
- comment (;/F12) for address in hex-, decode modes
- HEM SDK 0.42
- "NamesAutosave = On/Off" in ini-file
- "DllNameInComment = On/Off" in ini-file
- show negative offset for basing
- FIX: input string history has reset for empty string adding
- FIX: PE image size calculation has incorrect for last section virtsize = 0
- FIX: PE overlay calculation more accurate


결국, 개인으로써는 조금 부담스럽지만 199$에 평생 버전 구매했다.
(거의 25만원 덜덜덜 ~ 하지만, 평생 이용으로는 충분할 듯)

카드로 결제했으므로 제작자에게 돈이 완전 입금되기 전에는 Hiew 7.51 을 제공한다. (현재 최신 버전은 8.00)

구매 후에 제작자로부터 직접 암호 해제 키, 등록키를 받는다.
그후 파일을 다운로드받고 암호 해제 프로그램으로 해제하면 HIEW32.EXE가 생성된다.



신고
Posted by mstoned7

댓글을 달아 주세요

  1. CherryLove™ 2009.05.24 14:52 신고  댓글주소  수정/삭제  댓글쓰기

    우아;;; 대단하십니다. ^^;;

  2. Juns 2009.05.25 16:10 신고  댓글주소  수정/삭제  댓글쓰기

    아날로그적 불법복제 방지로, 왠만하면 최신버전의 크랙판이 없는 프로그램이기도 합니다. 기능은 막강하나, 유료 프로그램치고는 설명서가 부실하죠..ㅋㅋ ;

  3. Danney 2011.07.18 15:45 신고  댓글주소  수정/삭제  댓글쓰기

    Hiew Demo 랑 Hiew 정식버전이랑 어떤 기능의 차이 혹은 다른 옵션이 있나요

    • mstoned7 2011.07.18 16:44 신고  댓글주소  수정/삭제

      데모 버전하고 버전 차이가 꽤 납니다. 결정적으로 데모 버전은 특정 길이 이상의 파일은 열 수 없는 걸로 알고 있습니다.


악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다.

헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다.

1. 특수 코드 표시 

대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다.

2. 파일 비교

두개 파일 비교 기능이 편하다.

단점이라면 도스 프로그램으로 긴이름이 지원되지 않으며 0 바이트 길이를 가지는 등 일부 파일의 경우 에러가 발생한다.


HE

HE 실행 화면


여담이지만 이 프로그램 제작자는 같은 팀에서 근무하고 있는 모 선임연구원으로 친구와 대학생 시절에 작성한 프로그램인데 회사에 입사 후 이 프로그램이 아직까지(?) 사용하고 있어 놀랬다고 한다. 하지만, 현재 소스 코드는 잃어버려 더이상 업데이트 할 수 없다고 한다.  

* 파일 다운로드는 아래에서..


- HE.BAT : 한글 윈도우 도스창에서 HE.COM을 실행하면 글자가 깨진다. 이 경우 영문 모드로 전환(chcp 437)하고 HE.COM을 실행한다. HE.BAT는 PATH가 지정된 (예를들어 C:\Windows)에 복사하고 셸 프로그램에서 HE.BAT를 실행해서 편하게 사용하면 된다.

- HE.COM : 실행 파일

신고
Posted by mstoned7

댓글을 달아 주세요

  1. XeroNic(HS) 2009.05.22 17:45 신고  댓글주소  수정/삭제  댓글쓰기

    우와~~+_+ 추억의 24,878 바이트짜리 HE.COM 이군요ㅋ
    한번 써보고 그 막강한 기능(?)에 반했다가..
    Made in KOREA 라는 사실에 더 놀랐던 기억이 납니다..

    윈도우로 넘어오고 수많은 헥사 에디트가 나왔지만...
    개인적으로 Compare 기능은 HE 가 최고였다고 생각합니다.ㅋ

  2. CherryLove™ 2009.05.24 14:54 신고  댓글주소  수정/삭제  댓글쓰기

    HE.COM 파일, 애용하고 있는 툴이랍니다. ^^

  3. Juns 2009.05.25 16:12 신고  댓글주소  수정/삭제  댓글쓰기

    2006년 이후로는, 다른 프로그램으로 갈아타서 잘 쓰지 않았지만, 그 이전에는 hex 볼땐 거의 이 유틸을 사용했지요.., 추억이 새록새록.. 그립다.. dos시절이..

  4. 어머 2011.02.27 16:49 신고  댓글주소  수정/삭제  댓글쓰기

    헉... 이거 메이드 인 코리아 였나요? 예전에 되게 잘썼던 프로그램인데... 어쨌든 감사합니다!

  5. gjcks 2012.11.19 23:51 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 이 프로그램 만드신 분 두 분 성함이라도 알 수 있을까요? 그냥 초보 프로그래머로서 알아두고 싶어서요. 그분께 한 번 전해주시면 감사하겠습니다. 그냥 만든분 성함 정도만 알면 좋을것 같습니다. gjcks.huh@gmail.com

http://www.immunitysec.com/products-immdbg.shtml

OllyDbg를 바탕으로 exploit 와 악성코드 분석에 용의하도록 제작되었다고 한다.

설치를 위해서는 파이썬(Python) 필요하며 윈도우 2000은 서비스 팩이 높아야하는 것으로 보인다.
(초기 윈도우 2000 버전으로 테스트 할 때 실행안됨)


----------

Announcing Immunity Debugger v1.0

After almost a year of intensive development and internal use, we are
pleased to announce the public release of Immunity Debugger v1.0.

When we started developing Immunity Debugger our main objective was to
combine the best of the commandline based and GUI based debugger worlds.
The commandline because most of us come from a UNIX background, and it
just ends up being more efficient than clicking your way around. The GUI
because we understand that we are visual beings that often can
grasp more from a single look at a graphical layout than from two days
of x/x-ing memory pages.

The third feature we required was full flexible access to the debugging API,
the graphing engine, and the GUI API. Because having to Re-Compile
plugins is lame, we decided to make everything accessible from Python.
So we put everything together and developed something we feel very
comfortable using.

This means we ended up with a fully flexible and extendible Win32
debugger that has all of it's features, both debugging and graphical,
easily accessible from it's Python scripting engine.

And best of all, it's available for free. That's right, Immunity
Debugger is released for free, including free monthly updates.

Here's some cool features:

o The Python API ("Immlib/Lib reference" for full documentation)
o A full Python based graphing library
o Full debugger and GUI API access
o A flurry of cool example scripts such as:

- !heap         A fully working heap dumping script (try the -d option!)
- !searchheap   Searching the heap
- !hippie       Trampoline hooks on RtlAllocateheap/RtlFreeHeap
- !modptr       Dynamic search for function pointers in pages
- !findantidep  Find address to bypass software DEP

o Writing your own scripts for your specific tasks is easy :)

Interested? Give Immunity Debugger a spin and download it from:
http://www.immunitysec.com/products-immdbg.shtml

For feedback or bug reports please contact support@immunityinc.com.

Happy debugging!

Thanks,
Team Immunity






신고

'Reverse Engineering > 분석도구' 카테고리의 다른 글

헥사 에디터 HIEW  (6) 2009.05.23
헥사 에디터 : HE  (8) 2009.05.22
디버거(Debugger) : Immunity Debugger  (0) 2007.11.16
OllyBonE - 상당수 패커를 풀어주는 OllyDbg 플로그인  (2) 2007.08.22
가상 시스템  (0) 2007.08.20
Debugger - OllyDbg 1.1  (0) 2007.03.13
Posted by mstoned7

댓글을 달아 주세요

OllyBonE 는 패커를 손쉽게 풀어주는 툴 중 하나입니다.
2006년 블랙햇에서 소개되었다고 합니다.

http://www.joestewart.org/ollybone/

플러그인을 설치하면 OllyDbg 의 Plugins 에 OllyBonE 가 추가되고
메모리 맵 (Memory map)의 섹션에서 오른쪽 마우스 버튼을 누르면
Set break-on-execute 가 보입니다.

이 메뉴를 통해 코드를 수행하면 상당수 패커를 풀 고 OEP를 찾을 수 있습니다.

[주의]

블루스크린 뜨면 DEP 를 끄라고 하는군요.

Control Panel->System->Advanced->Performance->Settings->Data Execution Prevention.

신고
Posted by mstoned7

댓글을 달아 주세요

  1. 아리새의펜촉 2009.05.24 11:52 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 고맙습니다.



티스토리 툴바