2017/12(52)
-
0x00 CTF challenge 001
도움 준 이 : ddddh 도움 내용 : GetDialogTextW 아시죠? 이 한마디로 인해 잘못된 곳에 bp를 걸고 있다는 사실을 알게 되었고, 문자열의 길이를 구할 수 있었음. 처음에 내가 입력한 A(문자열 길이만큼) 특정 루틴을 하는가 싶어서 모든 함수를 다 들어가보다가 자포자기의 심정으로 step over를 연발하다 heap alloc을 했으니 heap free를 하는 부분을 만나게 되었는데 heap free하기 바로 직전에 EDX 레지스터에 키 값이 들어가있었다. 소요시간 2시간 이상. 감을 좀 더 깊게 잡을 필요가있었다.
2017.12.28 -
0x00 ctf guessme
소요시간 약 1시간 소스코드랑 순서도를 유심히 살펴보았고, 처음에 길이 부터 체크를 하려했으나 정적분석으로는 길이체크가 불가능했음. 아무래도 실력이 아직 부족한듯. 동적 디버깅을 통해 길이를 알 수 있었고, 대문자 A를 적었을 때 FFFFFFFFE라는 값이 떠서 당황했다가 소문자 a를 적었을 때 그에 따른 기존값과 입력값의 차이를 명확히 알 수 있어서 문제를 풀 수 있었음.
2017.12.28 -
코드 가상화 개인 공부 [0x06]
Target AntiDebugging (특정한 타깃 = OllyDBG) OllyDBG FindWindow FindWindow() API를 사용해서 OllyDBG의 클래스명이 존재하는지를 조사하여 OllyDBG를 사용못하게 하는 방법 OllyDBG INT3 Exception Detection INT3(BreakPoint)예외가 발생하기 전에 이에 대한 예외 핸들러를 등록하여 INT3 예외를 발생시키는 OllyDBG의 실행을 발견하는 방법 OllyDBG IsDebuggerPresent Detection PEB의 BeingDebugged에 특정 값을 저장한 후에 OllyDBG에 의해 그 값이 변경된 경우 IsDebugger Present API를 사용하여 디버깅 중인지 체크 OllyDBG Memory Brea..
2017.12.26 -
코드 가상화 개인 공부 [0x05]
몇일 가족여행 갔다온다고 푹 잠만 자고 쉬었으니 다시 공부를 시작해본다. INT 2D Debugger Detectionntoskrnl.exe에서 사용되는 INT 2D가 디버깅 시에 사용되면 예외가 일어나지 않고, 일반 실행시에만 예외를 일으키는 것을 이용한다. Kernel32 CloseHandle and NtClose 잘못 된 시스템 핸들러에 대한 종료를 요청 할 경우 Debugging 시 잘못 된 주소로의 리턴이 이루어짐을 이용함. LordPE Anti Dumping 프로세스의 크기를 크게 늘려서 LordPE를 혼란시키거나 사용할 수 없도록 하는 방법 POPF and trap flag popf명령어의 실효성과 trap flag 사용 체크를 통해 디버깅 여부 확인 RDG OEP Signature Spoo..
2017.12.26 -
[dll injection] 친구 수업 자료 ^,^
보호되어 있는 글입니다.
2017.12.22 -
[Monero_ISSUE]_Author_c0nstant_Release
안녕하세요. 모네로 채굴기 악성코드에 대해서 글을 작성해보았습니다. 오늘도 저의 블로그에 방문해 주셔서 대단히 감사합니다. 피드백 무조건 환영 입니다 재밌게 봐주세요 ^,^ 파일 집에 갈 생각에 신나서 삭제부분 안적은 것이 길 가다 생각나서 수정 조치 하였습니다 !! 죄송합니다 ㅠ.ㅠ또 빠뜨린 부분이 있다면 꼭 말씀해주시면 감사하겠습니다. 더 욱 더 발 전 하 는 c 0 n s t a n t 가 되 겠 습 니 다. 감 사 합 니 다.
2017.12.22