전체 글(440)
-
코드 가상화 개인 공부 [0x06]
Target AntiDebugging (특정한 타깃 = OllyDBG) OllyDBG FindWindow FindWindow() API를 사용해서 OllyDBG의 클래스명이 존재하는지를 조사하여 OllyDBG를 사용못하게 하는 방법 OllyDBG INT3 Exception Detection INT3(BreakPoint)예외가 발생하기 전에 이에 대한 예외 핸들러를 등록하여 INT3 예외를 발생시키는 OllyDBG의 실행을 발견하는 방법 OllyDBG IsDebuggerPresent Detection PEB의 BeingDebugged에 특정 값을 저장한 후에 OllyDBG에 의해 그 값이 변경된 경우 IsDebugger Present API를 사용하여 디버깅 중인지 체크 OllyDBG Memory Brea..
2017.12.26 -
코드 가상화 개인 공부 [0x05]
몇일 가족여행 갔다온다고 푹 잠만 자고 쉬었으니 다시 공부를 시작해본다. INT 2D Debugger Detectionntoskrnl.exe에서 사용되는 INT 2D가 디버깅 시에 사용되면 예외가 일어나지 않고, 일반 실행시에만 예외를 일으키는 것을 이용한다. Kernel32 CloseHandle and NtClose 잘못 된 시스템 핸들러에 대한 종료를 요청 할 경우 Debugging 시 잘못 된 주소로의 리턴이 이루어짐을 이용함. LordPE Anti Dumping 프로세스의 크기를 크게 늘려서 LordPE를 혼란시키거나 사용할 수 없도록 하는 방법 POPF and trap flag popf명령어의 실효성과 trap flag 사용 체크를 통해 디버깅 여부 확인 RDG OEP Signature Spoo..
2017.12.26 -
[dll injection] 친구 수업 자료 ^,^
보호되어 있는 글입니다.
2017.12.22 -
[Monero_ISSUE]_Author_c0nstant_Release
안녕하세요. 모네로 채굴기 악성코드에 대해서 글을 작성해보았습니다. 오늘도 저의 블로그에 방문해 주셔서 대단히 감사합니다. 피드백 무조건 환영 입니다 재밌게 봐주세요 ^,^ 파일 집에 갈 생각에 신나서 삭제부분 안적은 것이 길 가다 생각나서 수정 조치 하였습니다 !! 죄송합니다 ㅠ.ㅠ또 빠뜨린 부분이 있다면 꼭 말씀해주시면 감사하겠습니다. 더 욱 더 발 전 하 는 c 0 n s t a n t 가 되 겠 습 니 다. 감 사 합 니 다.
2017.12.22 -
코드 가상화 개인 공부 [0x04]
이번에는 질문을 하나 던지고 시작할까합니다. 역 공학(Reverse Engineering)을 막으려면 어떻게 해야할까요? 프로그램을 안만들면 되지? (X) 프로그램은 만들어야 먹고 삽니다 ^ , ^ 프로그램은 0과 1로 이루어져 있기 때문에 "막을 순" 없습니다. 그럼 질문 자체가 잘못되었다는 것 이겠죠? 역공학을 최대한 지연시키려면 혹은 분석 할 맘이 안들게 하려면? ==> 안티디버깅이라는 방법을 사용하면 됩니다. 그렇다면 어떠한 안티디버깅 방법이 있는지 궁금할 수 밖에 없을 것입니다. 지금 부터 하나하나 살펴보겠습니다. 설명을 할 때는 반말로 적겠습니다. (양해 바랍니다..) Start ~~ ♪ 안티 디버깅 기술에는 크게 4가지가 존재한다. 예전에 안티 디버깅에 대해 간단하게 공부를 하고 PDF 형식..
2017.12.20 -
코드 가상화 개인 공부 [0x03]
코드 난독화 기술들을 접해보았다. 다형성(Polymorphic) 코드 다형성 코드는 바이러스 제 4세대에서 즐겨 사용한 기법이기도 하다. 잠시 바이러스 관점에서 설명을 하면, 바이러스는 안티 바이러스의 탐지를 피하기 위해 독특한 식별자를 사용한다.Polymorphic 바이러스는 변조된 프로그램에 결합이 되어 있다. 바이러스 코드는 실행할 때 마다 자기 스스로 변하게 되어 식별자를 구분하기 어렵게 한다. 다시 본래의 논문으로 돌아가보면, 다형성 코드는 코드가 코드를 수정하는 방법인데, 런타임에 코드 decode를 수행하는 방법을 이용한다고 한다.그렇기 때문에 코드를 실행하기 전에는 원래의 코드를 확인할 수 없다. 이전 글에서 리소스에 암호화를 시켜두는 원리와 비슷하다고 생각된다. Metamorphic 기법..
2017.12.20