본문 바로가기

전체 글137

OllyDbg 설치 및 사용방법 리버싱을 실습할 때, OllyDbg를 사용한다. OllyDbg는 바이너리 코드 분석을 위한 32비트 무료 디버거이다. www.ollydbg.de/ OllyDbg v1.10 www.ollydbg.de 위 사이트에 들어가서, 다운로드 란에서 올리디버거 최신버전을 다운로드 받아준다. 압축을 해제한 뒤, exe 파일을 실행해 올리디버거를 실행한다. 실행파일을 그냥 드래그 해서 프로그램으로 옮겨주면 실행가능하다. 비주얼 스튜디오를 이용해 아무 exe 파일을 만들어주자. 올리디버거를 통해 열어보면, 위와 같은 화면이 나온다. 1) Code Window (빨간 부분) : 기본적으로 disassembly code를 표시하여 각종 comment, label 을 보여주며 , 코드 를 분석하여 loop, jump 위치 등의.. 2020. 9. 14.
[Multimedia] Find Key(butterfly) 오랜만에 멀티미디어 문제를 풀어볼 것이다. 이번 문제는 간단하니 열 식힐 겸 풀어보도록 하자! 문제 설명은 하나도 없이 나비.png 파일만 하나 주어진다. 열어보면 정말 꼴과 나비 사진 하나 나와있다. HxD로 열어보아도 굳이 도움될 만한 건덕지는 찾지 못했다. 29a.ch/photo-forensics/#pca29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extract.. 2020. 9. 14.
[Memory] GrrCON 2015 #7 문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.' 라고 되어있는데, 이는 멀웨어 뮤텍스(Malware Mutex) 라고도 한다. cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects Malware: Exploring mutex objects A mutex, also called a lock is a program object commonly used to avoid simultaneous access to a resource, such a variable. It’s used in concurrent programming to allow multiple program th.. 2020. 9. 14.
10장 윈도우 시스템 조사 레지스트리 레지스트리 (Registry) 윈도우 운영체제와 응용프로그램 구도에 필요한 정보를 저장하는 계층형 데이터베이스 부팅과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 거의 모든 활동에 관여 특히, 원격접속흔적, 네트워크 연결흔적, 저장매체 사용흔적 등을 정보를 추가적으로 찾을 수 있음 하이브 (Hive) 최상위 폴더에 해당되는 부분 – 루트키 하위 폴더에 해당 되는 부분 – 서브키 각 키마다 파일에 해당되는 값 – 값 (Value) 하이브 파일 : 레지스트리의 물리적인 파일들 대표적인 파일: SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT, USRCLASS.DAT, BCD, COMPONENTS 위 파일들이 하나의 세트를 구성하여 윈도우 레지스트리가 .. 2020. 9. 10.
[Network] DefCoN#21 #8 오늘은 DefCoN#21 #8 문제를 풀어보도록 한다! 그레고리를 죽인 사람을 찾는 게 이번 문제다. 와이어샤크를 이용해 파일을 열어준다. 내용을 쭉 확인하다보면 어느순간부터 RTP 프로토콜을 이용한 내용들만 보이기 시작한다. RTP 프로토콜은 Real-time Transport Protocol의 약자로, 실시간 전송 프로토콜을 의미한다. IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이라고 할 수 있다. 전화, TV, 화상 통화 등의 스트리밍 수반 통신을 할 때 사용되는 프로토콜이다. RTP Streams는 상단의 Telephony -> RTP -> RTP Streams를 통해 볼 수 있다. RTP Streams를 키면 위와 같은 화면이 나온다. 모든 항목을 클릭해서 선택해준 뒤, .. 2020. 8. 29.
[Memory] GrrCon 2015 #6 이번 문제는 비밀번호를 찾는 문제다. vmss 파일을 덤프파일을 만들어서 내용을 확인해보려고 한다. memdump 명령어를 이용해서 메모리 덤프를 떠주었다. strings.exe를 통해 dmp 파일을 보기에 편리한 txt 파일로 변환해 주었다. 이전 문제에서 찾았던 MrRobot 의 실행후에 비밀번호 입력을 했을 것이기 때문에 MrRobot 아래에서 내용을 확인해보았다. 비밀번호 형식으로 대소문자영문으로 되어있는 것을 찾아보면 Xtreme과 GrrCon2015가 나온다. 여기에서 Xtrem은 악성코드의 이름이기 때문에 GrrCon2015를 입력해보도록 한다. 정답은 GrrCon2015 2020. 8. 24.

티스토리툴바