| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- worm.win32.net-koobface
- Weather & Toggle Widgets
- AVAR
- printf 64비트
- 갤럭시s 음악끊김
- 하우리
- 난독화
- mbr
- 갤스
- 77 ddos
- Trup 부트 바이러스
- net-koobface
- ida
- 태백산 천제단
- 사이버테러
- AVAR 2010
- facebook 쪽지 악성코드
- Protector
- 시스템파괴
- linux LANG
- OllyFlow
- linux 한글 깨짐
- MBR 부트 바이러스
- 7.7 ddos
- OllyGraph
- Trup
- DDoS
- 갤스 음악끊김
- 64비트 변수 출력
- Wingraph32
- Today
- Total
목록RCE (6)
Mylabs
Ollydbg plugin - OllyFlow / OllyGraph
코드 정적 분석에 있어 개인의 취향(얼마전에 손예진씨을 봐서 그런가...-_-;)에 따라 다양한 디어셈툴들과 플러그인을 같이 사용합니다. 오늘은 분석가의 뇌를 잠시나마 맑게 해주고, 분석가분들의 키보드와 아무 죄없는 책상위의 물건들을 보호할 수 있는 Ollydbg 플러그인을 소개해 봅니다. -_-; ㅋ OpenRCE OllyFlow - http://www.openrce.org/downloads/details/178/OllyFlow OllyGraph - http://www.openrce.org/downloads/details/173/OllyGraph IDA에서 많이 사용되는 그래프기능 모듈을 이용하는 플러그인으로서, Ollydbg에서 IDA의 Wingraph32.exe을 사용하게 해주는 플러그인입니다. 바..
PEview Bug??
정말 오랜만에 포스팅인,,, 글 하나 올리기가 시간적인 여유나 꾸미기가 쉬운일이 아닌거 같다 'ㅁ' 앞으론 차곡차곡 잘 적어나가야 할듯 하다. PE포멧을 보기위해 많이들 사용하는 PEview에서 문제점을 발견했다. 머 아시는 분들도 많겠지만, 오랫동안 쉬었던 블로그를 위해(?)....ㅎㅎ 결론부터 말하자면, [그림 2]가 올바른 VA값을 나타내어 준다는 것이다. [그림 1] 처럼 파일이름을 선택한 상태에서 우측분할창의 HEX값들은 정확히 RVA값을 통한 계산이 아닌 단순 파일의 첫 시작부터의 순차적인 offset에 ImageBase 값만 더한것으로 보인다. 분석할 시에 VA를 직접 계산할 수도 있지만, 조금이라도 편한것이 좋아 툴을 사용하는 것이니, 앞으로 PEview를 사용하다가 VA값을 알고 싶다면 ..
ollydbg plugin - StrongODv0.2.3
안티디버깅을 위한 인터럽트 INT 2D 를 얼마전에 접하게 되었다. 그 때문에 여러가지 문서들을 검색하다가 올리디버거 플러그인 하나를 만나게 되었다. 안티디버깅 코드 우회와 갖가지 참 좋은 기능이 많은 플러그인듯 하다. 유명해 보이는 플러그인인데, 난 여지까지 안쓴것 같은.. ㅋ [ ollydbg 에서 좌측 하단의 dump 창의 모습 ] - 디버깅할때에, dump창을 5개로 늘려주며 5군데의 코드 변화를 편하게 볼 수 있는 장점이 있다. [ StrongODv0.2.3 의 option 화면 ]
하는 업무에 따라 또는 개인의 취향에 따라 리버서들은 서로 다른 툴들을 사용할 것이다. 느닷없이 오후에 ida pro에서의 디버깅을 하고싶었다 -ㅁ- 결과는 쉴세없이 내뿜는 Access violation... olly에서는 잘 attach되는 코드가... Exception처리 문제 인지 확인해보려고 했지만, 오류창은 느닷없는 "idag.exe" 가 원인임을 알려주고 있었다. address 00000000 을 참조한다는데,,, ida 너 뭔데 거기를 .....ㅡ0ㅡ 알수없는 오류에 친구 2명을 괴롭혔지만 눈으로 보지 못하는 상황에 친구들도 답답해 하며, 문제원인을 찾긴 힘들었다. 결국 구글신에게 여쭤본 결과... http://singrever.wordpress.com/2008/10/23/ida-pro-52..
스택의 구조를 설명하기 위해, 다음의 글을 번역하였다. http://www.phrack.com/issues.html?issue=49&id=14&mode=txt 내용은 함수가 호출되는 Call 문에 대한 부분만 정리하였으며, 나머지 스택의 대한 자세한 부분들은 공개되어 있는 많은 BOF문서나, 스택 문서를 참조하면 기본적인 사항에 대해 접할 수 있다. void function(int a, int b, int c) { char buffer1[5]; char buffer2[10]; } void main() { function(1,2,3); } $ gcc -S -o example1.s example1.c gcc 에서 컴파일시 -S를 사용하여 어셈코드를 얻을수 있는데, 위의 예문에서 function()함수 콜을 ..
data code 분석을 위한 ida의 사용법 & Sality.L
IDA pro 에서 "C" 단축키가 해주는 일~ Sality.L이 3주동안 내 머리를 미치게 만들고 있다... 슬슬 본체와 바닥이 드러나려고 하고있다.. 머지 않아 좋은 결과물이 나오지 않을까 하는 기대심이 한가득이다. IDA는 디어셈블 툴중에서도 단연 으뜸으로 인정받고 있는 도구이다. 강력한 기능들과 더불어 Hexrays plugin은 IDA를 더욱더 빛나게 해주는 디컴파일 플러그인이다. 만든사람이 천재로 불린다는..ㅋ 이런 강력한 IDA에 대해서 작은 기능( __)ㆀ 하나 소개하려 한다. 악성코드들중에 정상 파일을 감염시켜 숙주를 잡고 그 숙주에 기생을 하는 형태를 "파일 바이러스" 라고 지칭한다. 이 파일 바이러스들은 정상적인 PE의 개념(?)과는 조금 다른점이 있다. - 정상적인 PE들은 보통 각..