Korean : 다음은 악성코드 Flow의 일부분이다. 이 프로그램의 Thread Mutex는 무엇인가 Mutex : 스레드 내 중복 실행 방지 이 문제는 되게 재밌을 것 같은 기분이 든다. 파일을 열어보니까 와우 ida의 그래프 뷰를 던져두었다. 호오...이런식으로 CTF 문제 하나 만들어도 아주 재밌겠는걸..? 1분도 안되서 풀어버렸다. 그냥 MUTEX가 눈에 보인다. CreateThread 부분을 유심히 보면 된다.

코드엔진의 악성코드 문제는 전부 소스코드인가보다.. 동적악성코드 문제를 기대했는데 아쉽긴 하지만, 공부는 되니까 분석해보자. Korean : 다음은 악성코드 소스의 일부분이다. 무엇을 하는 함수인가 (정답은 모두 소문자, 띄어쓰기 없음) int Malware_L03(char *StartOfData,char *Output,int SizeOfData) { int encoded=0,i,l=0;// base64? 헐 맞다 ㅋㅋㅋㅋ // 근데 요즘은 base64 안쓰지 않나? // 온라인 디코딩 사이트가 너무 잘되어 있으니까. ㅎㅎ char Table[]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; long buffer,buffer2; ..

Korean : APM(Apache, PHP, MySQL) 환경의 사이트를 운영중인 L씨 현재 SQL Injection 악성코드의 공격을 받고 있다 PHP 설정파일에서 어떤 옵션을 설정해야 안전한가 SQL Injection 잘 모른다. php도 잘 모른다. 답은 구글링이다. keyword : php설정파일 + sql injection 방지 ref: php를 설치한 후 php.ini 파일을 열어보고 magic_quotes_gpc 설정이 On으로 되어있다면 sql 인젝션 공격에 대한 대비가 어느정도 되어있다고 할 수 있다. [php.ini] 소스 내용 중 magic_quotes_gpc 부분; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc ..

음.. 문제가 엄청나게 간단하다 몇줄 안주고 무슨 행위를 하는 함수인지 맞추어 봐라고 한다 u_short Malware_L03(u_short * data,u_short length) { register long value; u_short i; for(i=0;i>1);i++) value+=data[i]; if((length&1)==1) value+=(data[i]16); return(~value); }지금 딱 보면 &연산이 보이고 시프트연산이 보인다. 리버싱을 쪼오금 해봐서 어떠한 놈들이 가능한지 후보에 올릴 수 있었다. 어떠한 연산을 취한 value를 반환 시에는 보수를 취해서 반환한다. 그럼, 이 값은 패리티 체크이거나, 체크 섬이거나 둘 중 하나일 것 같다. 체크 섬 .. 지금 립케알에서 애먹고 있는..

여담 : 코드만 던져주는 문제라서 의식의 흐름대로 주석을 달면서 흐름을 파악해보았다. 그냥 눈에 보이는 대로 직독직해했다 하지만 운좋게 풀긴했다. 마치 CTF에서 랜섬웨어 문제에서 대놓고 나 랜섬웨어에요~ 라고 하듯이 혹은 최근에 페이스북 메시지 관련 마이너에서도나 채굴기에요 라고 하드코딩 되어 있는 단어가 있었다. 여기서 추가적으로 알게 된 것은 내가 만약에 중요한 프로그램을 설계하게 되면 변수명 부터 신중하게 해야겠다는 생각도 가질 수 있었다. // c++ 코드이다 // dav에 대해 검색을 한번 해봤는데 WebDAV라는 말이 나오고 XML이라는 말이 나왔다.// 둘다 인증한번 해본다 // 예스~~~~ 악성코드 재밌다 // 음 인증은 성공했지만, 얻어걸린것이다. dav를 한번도 들어본적이 없다.// ..

메모장에 적으면서 푼거라 다 주석이다. // network 공격 기반인듯하다.// network 공격 기반에 대해 다 나열하고 비슷한 것을 찾는 방향으로 진행해보자. // 왜냐하면 난 한번도 네트워크 공격에 대한 코드를 짜본 경험이 없다. // 우선 추측할 수 있는건 DDOS는 아니다. (예시로 나왔기에) // 네트워크가 왜 취약한지 부터 생각을 해볼 필요가 있다.// 크래커는 임의의 호스트를 공격할 수 있는 가능성을 항상 가지고 있다.// 가장 최근에 발생한 smb취약점을 이용한 워너크라이 랜섬웨어의 경우도 따지고 보면// 네트워크에서 이동하는 랜섬웨어 였다. // 즉, 네트워크 상은 취약점만 발견된다면 공격할 지점이 무궁무진하다고도 볼 수 있다 // 네트워크 공격에는 스니핑(도청), 스푸핑, 세션 하..