youngsouk
youngsouk
kimsuky 분석 1 - 드롭퍼
hash : 6dfce07abc39e5d6aebd74a1850ad65cc6ce10a8540b551c4f6d441ec4cf48ab (sha256) kimsuky 악성코드는 많이 알려져 있다시피 APT (A ; advanced, P : persistent, T : threat) 공격을 하게 되는데, 이 APT 공격은 쉽게 말하면 자신이 목표로한 타겟만 계속해서 지속적으로 공격하는 것이다. 그래서 나는 이 샘플 파일을 얻기 위해 kimsuky 키워드로 트위터에 검색을 해서 hash를 알아낸 뒤 hybrid-analysis 사이트에서 샘플을 다운 받았다. 이 악성코드가 하는 일은 간단하다. 2개의 파일을 생성 & 실행 하는 것이다. 생성은 Resource데이터를 이용하여 CreateFileA 함수를, 실행은 S..
응용프로그래밍 화면 구현 - 웹사이트 계획서
1. 내가 만들고 싶은 웹사이트의 주제 제가 만들고 싶은 웹사이트의 주제는 소스코드&악성코드 분석에 관한 기술 블로그입니다. 2. 주제를 선정한 이유 및 개발 목적 제가 이 주제를 선정한 이유는 먼저, 제가 소스 코드를 분석하는 글들을 제 블로그에 올렸었는데 평소에 제 분석글의 가독성과 편의성이 너무나도 떨어진다고 느겼습니다. 그래서 열심히 고민하고 있었는데 제가 때마침 프로그래밍에 관심이 있어서 아래 링크에 들어가게 되었습니다. https://opentutorials.org/course/1 생활코딩 hello world 생활코딩의 세계에 오신 것을 환영합니다. 생활코딩은 일반인들에게 프로그래밍을 알려주는 무료 온라인, 오프라인 수업입니다. 어떻게 공부할 것인가를 생각해보기 전에 왜 프로그래밍을 공부하는..
64 bit SEH 차이점
1. 더 이상 스택에 관리 X 2. PE 파일에 있는 정적 예외 처리 정보 테이블 사용
64 bit 악성코드
왠만하면 악성코드들은 32 bit 프로그램이다. 왜냐하면 32 bit 프로그램은 32 bit, 64 bit 환경 아래에서 둘 다 동작하기 때문이다. 그런데 악성코드들 중 64 bit로만 작성되어야하는 코드들도 있다. 1. 커널 코드 커널이 64bit에서 동작한다면, 커널 코드가 64 bit이므로 루트킷과 같이 커널과 상호작용하는 악성코든는 64 bit일 수 밖에 없는 것이다. 2. 플러그인 & 코드 삽입 64 bit 어플리케이션이 동작 중인데 그 어플리케이션에 코드를 삽입하거나 악성 플러그인을 로드하려면 악성코드들도 64 bit여야 할 수 밖에 없다. 3. 쉘코드 2번과 마찬가지로 64 bit 프로그램에서 쉘코드가 정상적으로 작동하기 위해서는 64 bit를 위한 쉘코드를 작성할 필요가 있다.