셸코드에 대해서 알아보자. 쉘코드란 : 취약한 소프트웨어를 Exploit 하기위해 사용되는 페이로드"작은 코드조각"이라고도 한다. 수동적으로 쉘코드를 작성하는 방법 1단계 c언어 제작2단계 어셈블리어 제작3단계 기계어 제작 하지만, msfvenom을 사용할 수 있다.with kali linux 명령어msfvenom -p windows/exec CMD=calc.exe -f python -e x86/shikata_ga_nai -b '\x00\xff' bad character: \x00\xff : 페이로드 구성에 악영향을 끼침그래서 제거하는 것 root@kali:~# msfvenom -p windows/exec CMD=calc.exe -f python -e x86/shikata_ga_nai -b '\x00\x..

BOF 기초 공부 요약 1. 취약한 프로그램 생성2. immunity debugger pattern create3. 취약한 프로그램 실행 4. Ollydbg 실행 (cmd에서 에러 후 Debug옵션)5. EIP 추출6. Immunity debugger pattern offset eip값 7. 정확히 버퍼로부터 ret의 정확한 위치 추출 immunity debugger에서 패턴을 생성하는 이유 (pattern_create_offset) 직접 만들지 않은 프로그램은 예측이 힘들다.즉, 정확히 계산하기 어려우니 패턴을 만든다. 패턴을 만들어서 넣게 되면 리턴 값에 특정한 값이 들어가게 되고,이 고유한 값들 중 하나가 걸리게 되고리턴 값을 offset에 전달하면 몇번째 위치에서 overflow가 발생했는지 알려..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

와.. 마지막 문제 풀 차례다 그동안 악성코드 공부한 보람이 있긴 한가보다 ㅎㅎ Korean : 다음은 악성코드 Flow의 일부분이다. 다른 악성코드를 실행하여 추가 감염을 일으키는 함수의 주소를 찾으시오 (함수는 소문자가 아닌 대문자로 인증해주세요) Ex) 00401000 추가 감염을 일으키는 함수의 주소 다른 악성코드라면 리소스로 묶여있는 EXE 혹은 네트워크에서 전송받는 EXE라고 판단 했다. 윈도우즈 API함수에서 UAC(User Account Control)권한을 받을 수 있는 함수를 찾으면 된다. 여담으로 UAC 권한을 받을 수 있는 함수라도 WINLOGON의 레지스트리 조작은 불가능했어가지고 배치파일을 강제로 실행하게 만들어서 악성코드 인척 문제를 만든 적이 있다. Malware 당일 all..

Korean : 다음은 악성코드 Flow의 일부분이다. 분석결과 이 악성코드는 특정 사이트에 접속을 시도 하고 있는데 접속이 안될경우 몇초 단위로 재접속을 한다. 몇ms 단위로 재접속을 하는가 으아 오늘 새벽에도 리버싱 seed 관련 문제 많이 애먹었었는데 이번엔 잘 푸리라 다짐하고 바이너리를 열어본다. 이놈도 마찬가지로 Graph View이다 . 아까 전 문제 보다 꼼꼼하게 살펴보기로 하였다. 밀리 세컨드로 96000h라고 적혀있다 ㅎㅎ 특정 사이트 접속은 http://noshit.fateback.com이기도 하다