2018/05(43)
-
Core Dump
DEFCON CTF Qualifier 2018 에서 ps-sec를 풀기 위해 코어 덤프를 공부하였다. Core Dump란 무엇일까? 운영체제에서 프로그램의 오류가 자동으로 코어 덤프를 실행시키게 되는데 이 행위를 "코어 덤프"라고 한다. Core Dump는 덤프 프로세스 주소 공간의 덤프 영역의 모든 내용을 나타낸다고 한다. 보통 덤프를 뜨면 디스어셈블이 가능한데, 왜 이 문제는 디스어셈블이 안되는지 .... 고민에 빠져버렸다.. 덤프 코어에서 유용한 명령어는 backtrace, where, frame이 있다. 딱히 적을만한게 없는 것 같다.
2018.05.15 -
DEFCON CTF Qualifier 2018 ELF Clumber
잡담:데프콘 예선전 끝나고 다시 일상으로 돌아와서 내 수준에 맞는 공부를 진행하러 카페에 왔는데 뭔가 다시 풀어보고 싶어서 풀어보았다. 데프콘 처음 나가보았는데, 역시 포너블 지식, 타입에 대한 지식이 아직 부족한 상태였고, 리버싱은 매일 키젠과 크랙미 이런 것만 풀다가 문제를 아직까지 1차원적으로만 바라보지 못했던 점과, 모듈을 적용해야 하는 문제나, 텐서플로우를 사용해야 하는 문제 이런 "트렌드"를 몰랐던 것이 패배의 화근 이었던 것 같다.대회는 POCSEC에서 치루었는데, POC분들이 복지에 많은 힘을 기울여주셔서 감사하면서도, 나는 문제를 풀지 못하여서 살짝 죄송한 감도 있었다.하지만, 순위가 중요한게 아니다. 처음으로 2박3일간 대회를 팀원들과 모여서 해보았다는 것은 큰 의미가 있었다. 그 친구..
2018.05.14 -
Reversing.kr WindowKernel 상세분석2
잡담 : 첫 번째 바이너리에서 플래그 획득에 대해서는 별다른 소득이 없었었다. 그렇다면, sys파일이 중요하다는 것이라는 것을 알게 되었다. ( 이까지 알게 된건 몇개월 전이지만, 코드 분석을 완벽하게 하지 않아서 이때까지 풀지 못하였었다.) 이전글에서 적었던걸로 기억나지만, 한번 더 기술해본다. SYS파일의 엔트리는 DriverEntry이다.그리고 __security_init_cookie는 윈도우즈 환경에서의 BOF 방지에 사용되는 카나리이며, 이 카나리는 4바이트 이상의 배열에서만 동작하게 되며, 함수프롤로그에서 ebp와 xor를 취하여 백업을 시켜둔뒤, 함수 에필로그에서 검증을 하는 것으로만 알고 있었는데, 직접 들어가보니 무조건 xor ebp는 아닌 것을 알게 되었다. int __security_..
2018.05.05 -
Reversing.kr WindowKernel 상세분석
WindowsKernel 문제를 풀기전 삽질했던 거에 대해서 적어보려한다. 우선 WindowsKernel 압축을 해제하면, 두개의 파일이 떨어진다.WindowKernel.exeWinker.sys WindowKernel.exe에 Winker.sys가 dll로 쓰이게 된다.DLL과 sys는 파일구조는 둘다 PE포맷이다. 하지만, 조금 다르다. sys파일은 디바이스 드라이버로 동작하며, 엔트리 포인트가 DriverEntry로 시작된다. 그리고 DeviceAttach, DeviceRemove, Deviceloctl, Read, Write 등의 OS에서 장치를 제어하기 위한 인터페이스 함수를 구현한다. 디바이스 드라이버이기 때문에 커널모드에서 수행되고, 모든 프로그램에 동일한 인스턴스를 보여준다.응용프로그램은 직..
2018.05.05 -
WindowsKernel
보호되어 있는 글입니다.
2018.05.05 -
unbounded latency 공부중..
보호되어 있는 글입니다.
2018.05.04