쿨캣의 블로그 놀이

IDA Pro에서 DOS COM 파일 분석 IDA Pro로 DOS COM 파일을 분석할 경우 몇가지 난관(?)이 있습니다. DOS COM 파일은 100h부터 시작됩니다. 다행히 일부는 COM 파일로 인식합니다. 문제는 Binary file로 인식할 때입니다. Loading segment 0x00, Loading offset 0x00 입니다. 이 상태에서 분석할 수도 있지만 기준 주소(Base Address)가 달라서 헷갈릴 수 있습니다. IDA Pro 로딩 후 설정 'Binary file'로 인식될 경우 시작 주소를 100h로 변경해 주는게 좋습니다. Loading offset 을 100 으로 변경해 줍니다. 다음 문제는 Mode 선택입니다.DOS 파일이므로 16-bit mode를 선택해야합니다..

MACMatch MACMatch는 파일의 시간 정보(MAC 시간)를 기준으로 데이터를 필터링하거나 검색할 때 사용하는 프로그램입니다 https://vidstromlabs.com/freetools/macmatch/ MACMatchMACMatch Download MACMatch MACMatch lets you search for files by their last write, last access or creation time without changing any of these times. Usage instructions Download the exe file and run it from the Command Prompt. Run the Command Prompt as admividstromlabs.c..

ExifTool https://exiftool.org/ ExifTool by Phil Harvey0 (Information Type) AAC, AFCP, AIFF, APE, APP0, APP1, APP10, APP11, APP12, APP13, APP14, APP15, APP2, APP3, APP4, APP5, APP6, APP7, APP8, APP9, ASF, Audible, Canon, CanonVRD, Composite, DICOM, DjVu, DNG, Ducky, DV, EXE, EXIF, ExifTool, File, FITS, FLAC,exiftool.org 공격에 사용된 이미지 중 메타데이터를 확인해야 할 때가 있습니다.온라인으로도 조회할 수 있지만, 기밀 파일의 경우 로컬에서 작업이 필요..

RawCap 보통 패킷을 캡처하기 위해 Wireshark를 이용합니다. https://www.wireshark.org/download.html Wireshark • Go Deep | DownloadWireshark: The world's most popular network protocol analyzerwww.wireshark.org 포터블 버전이 있다고 하지만, 간단히 캡쳐할 때 사용할 도구가 필요합니다 RawCap은 윈도우 커맨드라인 네트워크 스니퍼입니다. https://www.netresec.com/?page=RawCap RawCap - A raw socket sniffer for WindowsCan sniff localhost traffic on windowswww.netresec.com

윈도우 프로세스 보는데 프로세스 익스플로러가 널리 사용됩니다. https://xcoolcat7.tistory.com/1566 프로세스 익스플로러 (Process Explorer) .. 악성코드 분석용으로는 글쎄* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다. . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternalxcoolcat7.tistory.com 하지만, 악성코드 찾거나 할 때는 뭔가 살짝 부족합니다. 그때 프로세스 해커 (Process Hacker)를 널리..

위협 (악성코드) 분석을 위한 우분투 nginx 설치입니다. nginx는 가벼운 웹서버입니다.악성코드 테스트 같은 간단한 작업에는 딱입니다. https://nginx.org/ nginxnginx nginx ("engine x") is an HTTP web server, reverse proxy, content cache, load balancer, TCP/UDP proxy server, and mail proxy server. Originally written by Igor Sysoev and distributed under the 2-clause BSD License. Enterprise distributions, commercialnginx.org * 설치 sudo apt install nginx..

VMMap으로 프로세스에 숨겨진 수상한 스레드(코드)를 찾을 수 있습니다. https://xcoolcat7.tistory.com/91343 VMMap ... 메모리 구조 보기* VMMap   https://learn.microsoft.com/ko-kr/sysinternals/downloads/vmmap VMMap - SysinternalsVMMap은 프로세스 가상 및 실제 메모리 분석 유틸리티입니다.learn.microsoft.com  프로세스 익스폴로러는 메모리 구조까지xcoolcat7.tistory.com 하지만, 의심스러운 프로세스를 하나하나 확인할 수도 없고, 이런 과정을 자동으로 해주는 도구는 없을까요 ?  바로, hollows_hunter 입니다. * hollows_hunter    https..

* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다.  . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternals프로세스가 열어 둔 어떤 파일, 레지스트리 키, 기타 개체, 로드한 DLL 등을 찾으세요.learn.microsoft.com    악성코드 분석용은 프로세스 익스플로러보다 프로세스 해커를 더 즐겨 사용합니다.다만,프로세스 해커는 2016년이 마지막 버전입니다. . Process Hackerhttps://processhacker.sourceforge.io/ O..

Autoruns는 자동실행되는 프로그램을 보여줍니다.  https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns Windows용 자동 실행 - Sysinternals시스템이 부팅되고 로그인할 때 자동으로 시작되도록 구성된 프로그램을 확인하세요.learn.microsoft.com파일은 아래주소에서 다운로드 받을 수 있습니다. https://download.sysinternals.com/files/Autoruns.zip  * 사용법 32비트는 Autoruns.exe, 64 비트는 Autoruns64.exe를 실행하면됩니다.  의심가는 파일은 '붉은색'으로 표시됩니다.하지만, 업데이트 등으로 파일이 변경될 경우에도 색이 바뀔 수 있어 함부로 삭제하면..

분석을 하기 전에 먼저 파일 종류를 파악해야합니다.익숙한 파일의 경우 헥사 파일 뷰어로 열어보면 바로 어떤 파일 포맷인지 알 수 있습니다. * 파일 종류  file 리눅스, 맥에 포함되어 있습니다.  다음 프로그램은 chatGPT 에서 추천해준 내용입니다. .  TrID https://mark0.net/soft-trid-e.html Marco Pontello's Home - Software - TrIDQuesta pagina in italiano (Last updated: 01/12/24)     TrID - File Identifier TrID is an utility designed to identify file types from their binary signatures. While there a..

파일을 분석하기 위해서는 파일 종류부터 파악해야 합니다.윈도우 실행 파일 (Portable Executable) 종류도 다양합니다. PE 파일 종류에 따라 분석 방법이 달라질 수도 있어 PE 파일 종류를 파악하는게 중요합니다.  * PEiD PEiD가 가장 유명하지만, 2006년에 마지막 버전이 나온 오래된 프로그램입니다.    최근 PE 파일은 인식하지 못할 수 있습니다.  * Exeinfo PEExeinfo PE 는 PEiD와 비슷합니다.  http://www.exeinfo.byethost18.com/?i=1 로그인 또는 가입하여 보기Facebook에서 게시물, 사진 등을 확인하세요.www.facebook.com   2016년 UI입니다. 2024년 UI도 크게 달라지지는 않았습니다. 마지막 버전이 ..

IDA Pro 디스어셈블 내용을 보면 종종 OPCODE 값이 표시되었으면 합니다.  * 옵션 변경  'Options' -> 'General' -> 'Number of opcode bytes' 를 수정해 주면 됩니다.(초기 0 )  OPCODE 가 표시됩니다.    하지만, 매번 변경하기 귀찮습니다.  * IDA.CFG 설정 변경 매번 OPCODE가 표시하려면 IDA.CFG 파일을 수정하면 됩니다. C:\Program Files\IDA Pro 8.4\cfg\ida.cfg 파일을 열어 OPCODE_BYTES 값을 수정해줍니다.    이 값을 변경해주면 매번 수정할 필요 없습니다.

Windows XP에서는 디버깅할 때 PE 파일 베이스 주소가 일정해 IDA 의 디스어셈블 내용과 비교하면서 볼 수 있습니다. 하지만, Windows 7 이상에서는 보안 기능 때문에 로드되는 PE 파일의 BASE가 매번 변경합니다. 그래서 32비트 파일 분석할 때는 Windows XP에서 디버깅했지만 요즘은 Windows XP에서 로드 안되는 32비트 파일도 나오고 64비트 악성코드도 점차 늘어나고 있습니다. 디버거와 IDA Pro 의 베이스주소가 달라 양쪽을 다보는 경우 주소 때문에 불편합니다. (계산해도 됩니다만.... 그건 좀) 해결 방법은 다음과 같습니다. 방법 1) IDA Pro Image base 변경 IDA Pro에서 'Edit' -> 'Segments' -> 'Rebase Program'으..

고전 게임은 네트워크 단절된 윈도우 XP에서 하는데 파일을 다운로드 받았는데 압축 해제가 안됩니다. 처음에는 분할 압축을 인식 못하는걸까 리눅스에서도 풀어봤지만 안 풀립니다. 다른 컴퓨터의 최신 버전에서 압축을 해제하려고하니 암호를 물어봅니다. 암호가 걸려있어 안풀렸고 아마 구버전에서는 잘못된 파일이라고 인식했나봅니다. 암호가 뭔가해서 파일을 다운로드 한 고전게임 블로그를 검색했지만 찾을 수 없었습니다. (없거나 못 찾았거나...) 고전게임 실행기가 떠올랐습니다. 'URL 만 지정해주면 파일을 다운로드하고 실행까지해주니 프로그램 안에 암호 키가 내장되어 있겠구나...' 파일을 확인해보니 닷넷으로 작성되어 있습니다. 닷넷으로 작성된 파일은 dnspy로 코드를 보면 됩니다 전반적인 코드 흐름을 살펴보고 당연..

외부 인터넷과 연결되어 있지 않으면 Adobe Flash 다운로더로 설치 할 수 없습니다.또 Flash 파일을 분석하기 위해서 과거 버전이 필요한 경우가 있습니다. 다음 사이트에서 다운로드 하면 됩니다. https://www.adobe.com/support/flashplayer/debug_downloads.html 다양한 버전은 다음 주소에서 다운로드 받을 수 있습니다. https://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

IDA 디컴파일러(F5)로 디컴파일 하다보면 가끔 스택 문제도 실패하는 경우가 있습니다. 'Decompilation failure: xxxxxx: positive sp value has been found" 오류가 발생한 주소 앞 (여기서는 0x401018)으로 가서 [Alt + K] 로 Chage SP value 를 실행합니다. 이 값을 Current SP value 와 맞춰주면 됩니다. 다시 F5로 디컴파일 해보면 디컴파일된 내용이 나옵니다.

Serenia 는 1982년 만들어진 어드벤쳐 게임입니다.이때 어드벤쳐 게임은 상당수 텍스트인데 간단하지만 그림도 나오는 어드벤쳐 게임입니다. IBM 버전이 만들어 졌을 때 아직 MS-DOS(IBM에서는 PC-DOS)가 완전히 시장을 차지 않았을테고 도스 게임 중에는 도스(!)를 직접 탑재한 게임도 있었습니다. 이 게임도 자체 부팅 기능이 있습니다. 부트 이미지네요.일반적인 부트 이미지는 아닙니다. FAT 영역입니다. ROOT 입니다.여러 파일이 보이네요. 어셈블리로 게임 만들었을까요 ? 보통 DOSBox에서는 이런 디스크 이미지는 별도 방법으로 실행해야 합니다. 하지만 제가 구한 게임 버전은 그냥 SERENIA.COM만 실행하면 됩니다. 원리가 어떻게 될까요 ? 한번 분석해 봤습니다.(전부다 본건 아니..