쿨캣의 블로그 놀이

IDA Pro에서 DOS COM 파일 분석 IDA Pro로 DOS COM 파일을 분석할 경우 몇가지 난관(?)이 있습니다. DOS COM 파일은 100h부터 시작됩니다. 다행히 일부는 COM 파일로 인식합니다. 문제는 Binary file로 인식할 때입니다. Loading segment 0x00, Loading offset 0x00 입니다. 이 상태에서 분석할 수도 있지만 기준 주소(Base Address)가 달라서 헷갈릴 수 있습니다. IDA Pro 로딩 후 설정 'Binary file'로 인식될 경우 시작 주소를 100h로 변경해 주는게 좋습니다. Loading offset 을 100 으로 변경해 줍니다. 다음 문제는 Mode 선택입니다.DOS 파일이므로 16-bit mode를 선택해야합니다..

분석을 하기 전에 먼저 파일 종류를 파악해야합니다.익숙한 파일의 경우 헥사 파일 뷰어로 열어보면 바로 어떤 파일 포맷인지 알 수 있습니다. * 파일 종류  file 리눅스, 맥에 포함되어 있습니다.  다음 프로그램은 chatGPT 에서 추천해준 내용입니다. .  TrID https://mark0.net/soft-trid-e.html Marco Pontello's Home - Software - TrIDQuesta pagina in italiano (Last updated: 01/12/24)     TrID - File Identifier TrID is an utility designed to identify file types from their binary signatures. While there a..

IDA 디컴파일러(F5)로 디컴파일 하다보면 가끔 스택 문제도 실패하는 경우가 있습니다. 'Decompilation failure: xxxxxx: positive sp value has been found" 오류가 발생한 주소 앞 (여기서는 0x401018)으로 가서 [Alt + K] 로 Chage SP value 를 실행합니다. 이 값을 Current SP value 와 맞춰주면 됩니다. 다시 F5로 디컴파일 해보면 디컴파일된 내용이 나옵니다.

* 키로거 키로거(Keylogger)는 키입력 내용을 기록하는 프로그램이다. 키로거가 기업에서 직원이나 부모가 아이들을 모니터링하기 위해 사용되지만 누군가 개인 사생활을 파악하기 위해서 악용되기도 한다. * 후킹 흔히 사용되는 키로깅 방식은 윈도우 API인 SetWindowsHookEx를 이용한 글로벌 메시지 훅과 드라이버를 이용한 키보드 후킹이 있다. SetWindowsHookEx( Int idHook, // 훅 종류 HOOKPROC lpfn, // 지정한 이벤트 발생시 처리하는 프로시저 주소 HINSTANCE hMod, // lpfn이 있는 DLL 의 시작 첫주소 DWORD dwTreadID // Thread ID }; idHook 에 해당하는 내용은 다음과 같으며 악성코드는 보통 02(키보드), 0..

악성코드 분석 방법에는 크게 정적분석과 동적분석이 있다. * 정적분석(Static Analysis) 샘플 실행하지 않고 분석. 타백신 실행하기, 내부 스트링보기, 단순 디스어셈블(?) * 동적분석(Dynamic Analysis) 샘플 실행하면서 분석 모니터링 프로그램(윈도우 악성코드의 경우 파일, 프로세스, 레지스트리, 네트워크) * 코드분석 디스어셈블, 디버거, 리버스 컴파일러 초급, 중급, 고급은 바로 정적분석, 동적분석과 코드분석 실력의 차이