Reverse Engineering 썸네일형 리스트형 크으립토락커 한글판 간단분석 크으립토락커 한글판을 우연히 구해서 간단하게 분석해 보았습니다. 2015년 4월 9일 13시 22분 UTC 기준 제작되었습니다. 어디 악성코드 따위가 디지털 서명을 가지려 하느냐 더 분석을 할려고 했는데 일단 동아리 과제랑 학교 축제 준비 이것저것 하느라그냥 링크 겁니다.^^ 귀찮 한글판 크립토락커 상세분석http://asec.ahnlab.com/1030 옛날에 분석했던 모바일 랜섬웨어http://blog.smishing.kr/76 더보기 SysFader는 무엇일까? 악성코드를 분석하다가 우연히 SysFader(?)라는 내용을 발견하였다. 프로세스 내용 ------------------------------------------------------------------------------------2632 iexplore.exe Command Line: "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" xx.xx.xx.xx/index.html 996 iexplore.exe SysFader Command Line: "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:2632 CREDAT:71937 ---------------------------------.. 더보기 bypassing IsDebuggerPresent IsDebuggerPresent bypass Section 1. What is IsDebuggerPresent?IsDebuggerPresent 디버깅 감지를 하는 유저 모드 디버거 함수이다. 이 함수를 사용하는 이유는 디버거를 이용하여 이상한 짓(?)을 하는 것을 막으려는 의도가 있지만.우회 방법은 매우 간단하다; 그래서 상업용에는 디버거 감지를 Themida같은 경우에는 프로텍터에서 자체적으로 지원하고 있고,그 이외에도 각자의 디버거 감지를 하는 솔루션을 가지고 있어 이 함수는 주로 사용하지는 않는다.(그러나 해킹대회 문제에서는 나옴ㅋ) 일단 코딩은 귀찮으니 CodeEngn Level 04 문제를 이용하기로 했다. Entrypoint 00401030 F8로 쭉 한번 실행하니..디버깅 당함 이 뜹니다.... 더보기 CSAW CTF 2013 Reversing 200 Write-up 문제가 그다지 어렵지 않은게 함정.. Hamjeong.. ........... 일단 실행해 봅니당 뽑(수많은한문)솃나도 쒯. 일단 N3rdist4n의 어셈블리어 스페셜튀김인 나는 습관적으로 ollydbg로 열어보았다. CPU DisasmAddress Hex dump Command Comments00401000 /$ 53 PUSH EBX00401001 |. 56 PUSH ESI00401002 |. 57 PUSH EDI00401003 |. 33DB XOR EBX,EBX00401005 |. 53 PUSH EBX ; /MaximumSize => 000401006 |. 53 PUSH EBX ; |InitialSize => 000401007 |. 68 00000400 PUSH 40000 ; |Flags = 0, T.. 더보기 ollydbg 2.0.1 http://ollydbg.de/version2.html다운로드 링크 개인적으로 ollydbg 가 64bit도 지원해주었으면 하는데..그래도 깔끔하고.. :) 좋네요 ㅎ정확하게는 이런 수정이.. ㅎHelp on 77 pages. Please read it first - most of new features are described thereMultilanguage GUI (experimental, as yet no translation files - please do it by yourself)Support for AVS instuctions (as yet no AVS2 and high 16 bytes of YMM registers are not displayed)Call stack window (sim.. 더보기 [CodeEngn RCE Basic] L03 CodeEngn RCE Basic L03 해설 시작합니다^^이번 문제 해설도 L01과 비슷한 방식으로 하겠습니다. 일단 문제를.. 보면? 비주얼베이직에서 스트링 비교함수 이름은...? 정답을 찾는 첫번째 방법Ollydbg로 분석해 스트링 비교함수 부분을 찾아 함수명을 본다일단 Ollydbg에서 모든 모듈을 띄우는 방법은.요렇게 하시면 모두 보실수 있습니다. 여기서 VB의 스트링 비교함수는..C언어 string.h를 include 시키시면 나오는 strcmp와 비슷한 것을 찾으면...vbaStrCmp 이 나오는 것을 알 수 있습니다.여기서 질문한 내용이 스트링 비교함수가 무엇인지가 답이니....답은 이미 나왔네여.. 그러나 다른 방법도 있다는... 정답을 찾는 두번째 방법리버싱해서 실행시킨 후에 하는 함수.. 더보기 [CodeEngn RCE Basic] L02 CodeEngn RCE Basic L02 해설 시작합니다^^저의 해설은 정답을 찾는 방향과 구조같은 것들을 함께 해설을 할 예정이지만이번 문제의 특성상 제가 직접 짠 소스코드를 예로 들 예정입니다.^& 일단 문제를.. 보면? 실행 파일이 손상되어 실행이 되지 않는다, 패스워드가 무엇인지 알아내는 문제입니다. 정답을 찾는 첫번째 방법Ollydbg로 분석해 패스워드를 찾아낸다해서 ollydbg를 돌려보면....? 응? 파일 열기를 실패하였습니다..?멘... 붕...! 이 방법은 포기해야겠네요 ㅠㅠ 정답을 찾는 두번째 방법HEX Editor를 사용하여 정답을 찾아낸다. 일단.. 전 상황의 멘붕은 정리하고 내부를 뜯어봅니다.응? 뭐지?Yeah, you did it! Crackme #1 "~~" 라고 하는데.. .. 더보기 [CodeEngn RCE Basic] L01 CodeEngn RCE Basic L01 해설 시작합니다^^저의 해설은 정답을 찾는 방향과 구조같은 것들을 함께 해설을 할 예정입니다 일단 문제를.. 보면?GetDriveTypeA의 Return 값을 알아내라고 하네요! 정답을 찾는 첫번째 방법MSDN 사이트를 참조해서 CD-ROM의 Return 값을 찾아본다.MSDN 사이트 연결해서 GetDriveTypeA를 검색해보면..? 음... 답이 여기 있네요?근데 우리는 이러자고 리버싱 하는거 아니잖아요? 정답을 찾는 두번째 방법JMP문을 사용한다. 일단.. Ollydbg로 내부 구조를 뜯어봅니다.응? 뭐지?(일단 이 강좌는 기초적인 리버싱 능력을 가지고 있다는 전제하에 작성하겠습니다.) 일단 이 프로그램 내부를 분석하겠습니다. 1. 일단 MessageBoxA.. 더보기 이전 1 다음
