지인에게 소개받은 안드로이드 앱 분석 플랫폼(koodous)에 대해 주요 부분을 소개하고자 합니다. 이와 비슷한 플랫폼으로 대표적으로 HybridAnalysis, Malwares.com, Virustotal.com (이름 순)이 있습니다. 현재 BETA 버전으로, 현재 무료 기능이 언젠가는 유료 서비스로 변경될 것으로 예상이 됩니다. Koodous docs에 따르면 Koodous는 방대한 APK 저장소를 통해 분석가 간의 사회적 상호 작용을 결합한 Android 악성코드 연구를 위한 협업 플랫폼이라고 소개합니다. 방대한 기능 중에 제가 흥미로운 몇 가지만 작성해보려고 합니다. [그림 1]은 무료로 가입(이메일 인증 필요)하면 표시되는 대시보드 화면입니다. 탐지된 샘플의 갯수들과 사용자들이 선택하는 앱의 ..
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051from idautils import *from idaapi import *from idc import * def decompile_func(ea): if not init_hexrays_plugin(): return False f = get_func(ea) if f is None: return False try: cfunc = decompile(f); if cfunc is None: # Failed to decompile return False except Exception as e: return 'DecompileFail' lines = ..
below PostScript is maked encoded shellcode. 12345678910111213# 23 2D 62 78 0B 00 84 83 D7 16 16 92 96 51 41 BB# 4E A3 B4 85 75 2D 60 E7 5F 7F 72 D3 72 FE 12 E4key = bytearray([0x4E, 0xA3, 0xB4, 0x85, 0x75, 0x2D, 0x60, 0xE7, 0x5F, 0x7F, 0x72, 0xD3, 0x72, 0xFE, 0x12, 0xE4])data = bytearray(open('encoded_shellcode.bin', 'rb').read()) def xor(data, key): l = len(key) return bytearray(( [(data[i] ^ ..
1. 기본적으로 .TEXT(코드영역) 첫 부분이나 멈추고 싶은 부분에서 "EB FE"로 HEX 값을 변경하면 무한루프 상태가 되는데, 이때 디버거로 ATTACH 가능* ATTACH 후 "EB FE"로 변경 전 HEX 값으로 복구해야 함.참고 : https://paulslaboratory.blogspot.com/2014/04/ebfe-debugging-remote-thread.html 2. Global Flags를 이용해 특정 이미지가 실행될 때 디버깅 하는 방법은 아래와 같음(OllyDBG의 Just in time debugging과 동일하나 특정 이미지를 지정해준 다는 것이 다름)* Global Flags - Image File 탭 - Image 칸에 디버깅 할 프로세스 작성 - Debugger 칸에 ..
# IDA에서 분석하고 달아놨던 주석을 모두 가져오기 위해 디스어셈블된 상태에서 가져오는 주석인 idc.GetCommentEx 함수를 사용했지만 디컴파일된 수도코드에서 달아놨던 주석은 못가져온다.. 방법은 아래와 같다. 출처 코드에서 약간만 변경했음출처 : https://github.com/Comsecuris/shannonRE/blob/master/idapython/plugins/pseudocomments.py123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657from idautils import *from idaapi import *from idc import * co..
[먼저 설치할 것]* 환경 : Windows71. Python 2.7 설치2. https://github.com/corelan 홈페이지에서 아래 프로젝트 내부의 파이썬 파일 다운로드- windbglib.py- mona.py3. 2번에서 다운로드 받은 2개의 파일을 Windbg 폴더에 복사4. 2번에서 받은 windbglib-master\pykd\pykd 경로에서 pykd.pyd 파일을 windbg 폴더에 복사5. 4번과 같은 경로에서 vcredist_x86.exe 파일 실행 후 설치 6. Windbg 설치 후 Symbol 설정 ( SRV*C:\windbgsymbols*http://msdl.microsoft.com/download/symbols )- 참조(http://suspected.tistory.com..
# 조건부 브레이크 포인트를 이용해 0x33으로 XOR 인코딩된 데이터를 디코딩 후 패치해주는 코드 12345678910111213141516171819202122232425262728293031323334353637#-*- coding: utf-8 -*- RunPlugin("python", 3) # IDAPython 라이브러리 로드 from idaapi import *from idautils import *from idc import * # 아래는 구글링 하다가 발견한 소스코드이며 구현 방법은 다양하다는 것을 느낌'''def xor(size, key, buff): for index in range(0, size): cur_addr = buff + index tmp = Byte(cur_addr) ^ ke..
- Total
- Today
- Yesterday
- Flybits
- AMSI
- koodous
- Static Analysis Engine
- malware
- 위협정보공유
- 비트코인
- CVE-2018-0798
- cuckoo-sandbox
- VirusBulletin
- vuln
- 해킹메일
- keylogger
- CVE-2018-9375
- 스피어피싱
- Yara
- Cisco Talos
- idapython
- Bisonal
- .wll
- Decoding
- Kimsuky
- Servey
- MS-Office
- 한글악성코드
- 악성코드
- infostealer
- 출처 : Do it 안드로이드 프로그래밍
- us-cert
- 멋쟁이사자처럼 4기
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |