'분류 전체보기' 카테고리의 글 목록 (4 Page)

youngsouk

리눅스 커널 컴파일 시 필요 라이브러리

sudo apt-get install build-essential libncurses5 libncurses5-dev bin86 kernel-package libssl-dev bison flex libelf-dev gcc-arm-linux-gnueabi g++-arm-linux-gnueabi -y 이걸 다 설치하고 컴파일 해야되었다.

커널 · 2020. 3. 21. 00:36

vmware에서 가상머신을 사용하게 된다고 가정해보자. 1. 속도 등의 이유로 모든 게스트 운영체제의 명령어를 가상화를 하지는 않고 직접 cpu에서 실행을 하는 명령어들이 몇몇 있는데(ex : idtsc 등) 이러한 명령어의 실행결과에 따라 조건분기를 하게 된다. 2. 특정 IO 통신 포트를 질의함으로서 확인을 할 수 있다. 3. 레지스트리 키나 서비스 등을 확인함으로서 가상머신에서의 실행을 방해할 수 있다.

악성코드 분석 · 2020. 3. 7. 02:37

안티 디버깅 기법

1. 윈도우 API 사용 IsDebuggerPresent() PEB에서 IsDebugged 검사 CheckRemoteDebuggerPresent() PEB에서 IsDebugged 검사 & 자기 자신 or 로컬 컴퓨터의 다른 프로세스만 검사 가능 NtQueryInformationProcess() OutputDebugString() SetLastError()로 에러 설정 OutputDebugString()함수를 이용해 디버깅 중이면 이 함수는 성공, 디버깅 중이 아니라면 에러 코드를 설정하므로, 디버깅 여부 판단 가능 2. ProcessHeap 플래그 검사 힙 헤더의 플래그를 살핌으로서 디버깅 여부 판단 3. NTGlobalFlag 검사 PEB의 0x68부분이 0x70인지 확인 4. 레지스트리 & FindW..

악성코드 분석 · 2020. 3. 6. 03:18

안티 디스어셈블리

디스 어셈블리 기법에는 2가지가 있다. 1. 선형 디스어셈블리 예외 없이 코드 블록을 반복하면서 디스어셈블한다. 그래서 switch 포인터를 담고 있는 배열 등 등 데이터도 명령어로 해석해버린다. 2. 흐름 중심 디스어셈블리 jmp, call과 같은 논리적 흐름에 따라 디스어셈블한다. jz 이런 조건 분기의 경우 거짓 또는 참을 가정하여 디스어셈블한다. 이런 요소를 이용해 안티 디스어셈블리 기법을 개발할 수 있다. 안티 디스어셈블리 1. jz, jnz를 이용하여 동일한 위치로 점프하는 명령어를 구상 & 0xe9(jmp) or 0xe8(call) 들을 적적히 배치한다. 조건 분기에서 거짓을 가정하고 디스어셈블하게 되면 call 또는 jmp를 먼저 디스어셈블하게 된다. 2. 2개 이상의 명령어가 한 메모리 ..

악성코드 분석 · 2020. 3. 4. 02:43

네트워크 시그니쳐 생성

1. 악성코드가 사용하는 하드코딩된 문자열 유의 2. 너무 디테일한 부분에 이용하지 말기 3. 정규식 활용 잘하기 4. 엔드 포인트에 집중 5. 차별화 되는 특이한 요소에 집중

악성코드 분석 · 2020. 3. 1. 00:59

유용한 DNS 검색 사이트

1. DomainTools(https://www.domaintools.com) 2. RobTex(https://www.robtex.com) 3. BFK DNS logger(http://www.enyo.de/fw/software/dnslogger/) - 패시브 DNS 모니터링 정보 사용

악성코드 분석 · 2020. 2. 29. 03:27

악성코드 실행 방법

1. dll injection 2. 직접 코드 삽입 3. 프로세스 교체 (프로세스 언매핑&다시 쓰기) 4. 후크 인젝션 (SetWindowsHookEx()로 훅 걸고 window 메시지 날리기) 5. APC 인젝션 ( APC : Asynchronous Procedure Call) 유저 공간 : QueueUserAPC(), 커널 공간 : KeInitializeApc(), KeInsertQueueApc()

악성코드 분석 · 2020. 2. 28. 01:56

malloc_consolidation_without_large_bin

#define FASTBIN_CONSOLIDATION_THRESHOLD (65536UL) if ((unsigned long)(size) >= FASTBIN_CONSOLIDATION_THRESHOLD) { if (have_fastchunks(av)) malloc_consolidate(av); 이 부분은 fastbin 크기 이상의 청크를 free && 인접한 청크를 병합 한 뒤 실행 된다. 그래서 top chunk와 인접한 fastbin 크기 이상의 청크를 free하면 실행이 되게 된다. malloc_consolidate가 실행되면 fastbin에 있는 청크를 unsorted bin으로 옮기게 된다. 하지만 이 과정에서 인접한 청크가 free되어있으면 병합하기 때문에 조심해야한다. 이것을 통해 fastbin..

힙(heap) · 2020. 2. 25. 03:24

❮ Prev Next ❯

분류 전체보기 (141)