○ BpHook/LogBpHook - 브레이크포인트가 발생할 때 호출된다. BpHook은 디버깅 대상 프로세스를 일시 정지시키지만 LogBpHook은 그렇지 않다.○ AllExceptHook - 프로세스 내부에서 종류에 상관없이 예외가 발생하기만 하면 호출된다.○ PostAnalysisHook - 디버거가 로드된 모듈에 대한 분석 작업을 끝냈을 때 이 후킹이 호출된다. 디버거의 분석 작업이 끝난 후에 자동으로 정적 분석 작업을 수행해야 하는 경우에 유용하게 사용할 수 있다. immlib를 이용해 함수와 기본적인 코드 블록을 해석하기 전에 모듈(실행 파일 포함해) 이 먼저 분석돼야 하는 것이 중요하다.○ AccessViolationHook - 접근 위반이 발생할 때마다 호출된다. 퍼징 작업을 수행하는 동안..
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다. 스크립트는 아래와 같다.1234567891011121314151617181920212223242526272829303132333435363738394041#!/usr/bin/env python """(c) Immunity, Inc. 2004-2007U{Immunity Inc.}List all pycommands with it..
문제 : https://tuts4you.com/
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다* Immunity Plugin 개발(아래 주소와 같이 간단하게 스크립트를 작성하면 원하는 결과물을 손쉽게 얻을 수 있다.)- http://suspected.tistory.com/160. *환경 : WindowsXP 1. 설치- http://debugger.immunityinc.com/ 2. 설치 후 아래 경로를 통해 작업 시작
대부분 자바스크립트 난독화를 보면 document.write()를 이용하거나 eval함수를 이용해 실행을 하게 된다. 이를 방지하고 유포되려는 URL에 접근하려고 할 시에 아래 방법으로 확인 후 조치를 취해야 한다. 1. alert를 이용해 메시지박스 띄우기* eval을 alert로 변경하여 주로 사용한다. 2. 태그를 이용한 방법* document.write("");* document.write(""+[변수]+""); 3. 태그를 이용한 방법전 : document.write(""+[변수]+"");후 : document.write([변수]); 4. malzila 도구 이용한 방법* %u~로 시작하는 쉘코드가 있을 때 malzila 도구를 이용해 Misc Decoders -> UCS2 To HEX(%u 지..
http://dynamide.tistory.com/3486
Direct EIP Overwrite- 버퍼오버플로우에 취약한 함수를 사용하고 있을 때 발생되는 취약점으로 RET 변조를 통해 임의의 주소를 실행시킴* 버퍼 보안 검사(GS), DEP, ASLR 기능을 제외하고 컴파일시에 성공 Trampoline Technique- ASLR 기능으로 실행 시마다 코드 주소 및 스택 주소 등이 모두 변경되었을 때 직접 쉘코드의 주소를 써넣는 Direct EIP Overwrite 기법과 다르게 JMP ESP를 이용하여 동적으로 버퍼 주소로 이동하도록 하는 기법* JMP ESP 주소를 찾는 방법- 디버거를 통해 메모리(Ctrl+M)로 들어간 후 바이너리 검색(Ctrl+B)을 이용해 'JMP ESP(FF E4)'를 사용하는 주소를 찾음 SEH Overwrite* 스택 쿠키 : ..
#include char shellcode[] ="\xEB\x30\x42\xAD\x60\x03\xD8\x8B\xF3\x33\xC0\x33\xFF\xAC\x03" "\xF8\x84\xC0\x75\xF9\x89\x7D\x10\x61\x39\x7D\x10\x75\xE5\x0F" "\xB7\x54\x51\xFE\x8B\x7D\x18\x8B\x77\x1C\x8B\xFB\x03\xF7\x03" "\x3C\x96\x8B\xC7\xC3\x33\xC0\x89\x45\x0C\xC6\x45\x0C\x63\xC6" "\x45\x0D\x6D\xC6\x45\x0E\x64\x64\x8B\x40\x30\x8B\x40\x0C\x8B" "\x40\x14\x8B\x18\x8B\x1B\x8B\x5B\x10\x8B\x7B\x3C\x03\xF..
- Total
- Today
- Yesterday
- VirusBulletin
- infostealer
- Static Analysis Engine
- 스피어피싱
- Bisonal
- 해킹메일
- 출처 : Do it 안드로이드 프로그래밍
- CVE-2018-0798
- MS-Office
- 멋쟁이사자처럼 4기
- malware
- us-cert
- Flybits
- vuln
- cuckoo-sandbox
- keylogger
- Decoding
- Yara
- .wll
- 비트코인
- AMSI
- Servey
- 위협정보공유
- Kimsuky
- 한글악성코드
- idapython
- CVE-2018-9375
- koodous
- 악성코드
- Cisco Talos
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |