1. PEID로 열어본 화면입니다. C++로 만들어져있고, GUI에, 패킹이 안되어 있습니다.2. 실행을 하고 123을 눌렀지만 오류가 나네요!3. Resource Hacker로 열어본 결과 Control ID값을 확인할 수 있었습니다. EditText 창은 '1002' Button(Check)는 '1003' TextArea(Wrong)는 '1001'입니다. 4. IDA로 봤더니, 전체적인 소스 흐름은 EditText에 정확한 숫자를 입력해야 성공을 하는 것 같은데, IDA는 'Correct'부분을 해석하지 못합니다. 분석을 어렵게 하기 위해 조작을 했을 것 같네요.5. 올리디버거로 실행하여 user32.dll의 DialogBoxParamA(DialogBox 띄움), GetDlgItemInt(입력 글자를..
1. 분석 하기 전에 ImagePrc를 PEID에 붙여봅니다. C++로 만들어졌고, Win32 GUI가 SubSystem이네요. 2. ImagePrc를 실행 했을 때 모습입니다. 그림을 그려넣는 걸로봐서 알맞은 글씨나, 그림을 넣어야 되나..?3. IDA로 본 main 코드입니다. WinMain 함수를 쓰는 코드를 보면 공통점이 lpfnWndProc 부분에 주요 코드를 저장하기 때문에 401130 주소로 가보겠습니다.4. GetDc, CreateCompatibleBitmap, Rectangle 함수를 쓴 걸로 보아 화면을 띄우는 역할을 하는 부분입니다. 5. 밑을 내려가다 보면 워게임 문제가 다 그렇듯, 오류 메시지 근처에 답이 존재합니다 ^____^; 오류 메시지의 반대 루틴으로 가게끔 BP를 걸어서 ..
1. CSHOP 파일을 PEID에 붙여 보겠습니다.- 어머! C발! C#이네요(라임), 한 번도 분석해 본적이 없기 때문에 분석하기 전에 C# 내부 과정을 공부를 했습니다. 패킹이 안되어있다는게 감사할 따름입니다.2. CSHOP 실행 화면.- 아무 것도 뜨지 않는다. 처음에는 몰랐는데 황당한 일이 벌어질 예정이다.3. C#은 올리디버거 같은 디버거로는 일반 PE파일과 다르기 때문에 분석하기 어렵습니다. 그러기 때문에 저는 C# 디컴파일러 .NET Reflector와 IDA로 진행하였습니다. 디버깅이 안되어서 줯같았지만 눈으로 소스를 파헤쳤습니다.4. 밑으로 내려가다 보시면 CSHOP 부분을 보실 수가 있습니다.5. 오른쪽 마우스를 클릭 하시고 'Go To Entry Point'를 눌러주세요. Main 화..
$ 제 풀이는 저 혼자만의 생각이라서 다른 사람의 풀이와 많~~~이 다를 수가 있습니다. 1. Ransomware 3개 파일- run 실행파일 1개, file(무슨 암호화가 되어있는 것 같음), readme(힌트파일)readme에는 Decrypt File(EXE)가 적혀있는 걸로 봐서 file을 복호화 시켜서 EXE로 실행? 저 나름대로의 생각이였습니다.2. run 파일을 실행 해 보겠습니다. 3. key를 아무거나 입력 했더니 밑의 글씨가 나오네요. 전형적인 짱깨 말투에 돈 뜯어낼려는 모습이 보입니다. 4. 실행파일을 분석하기 전에 항상 PEID를 이용해서 패킹이 되어 있는지 확인합니다. run 파일은 UPX로 패킹이 되어있네요! 두 가지 방법이 있는데, Manual Unpacking이랑 UPX 툴을 ..
문제를 풀기 전에 저는 리눅스파일 ELF을 분석한 적이 없어서 당황했습니다ㅋㅋㅋ그래서 찾아봤는데 리눅스 환경에서 GDB를 이용한 방법과 IDA가 제공하는 IDA_Remote_Debugging이 있었습니다. 저는 GDB보다는 IDA_Remote_Debugging를 통해서 문제를 풀어봤습니다. 올리디버거로만 하다가 IDA로 디버깅하려니까 정말 어색하네요ㅋㅋIDA_Remote_Debugging 사용방법은 따로 올리겠습니다. 해킹대회에서도 이 방법을 많이 사용한다고 하네요. 처음 알았음...흑.. IDA_Remote_Debugging 설정을 하고 디버깅할 수 있는 환경에서 문제 풀이에 들어가겠습니다.1. IDA를 이용해서 Easy_ELF파일을 열어줍니다. Functions Window가 보이는데, 0804851..
1. Easy Unpack의 ReadMe 힌트. OEP를 찾아라. 주의 하실 것은 OEP코드를 401000을 찾았다 하더라도 앞에 00을 뺴먹을 수가 있습니다. 00401000으로 답을 써 넣어주면 됩니다.2. 올리디버거로 열어보면 흐...더럽네요 API함수들도 날라다니고 패킹이 된 것을 볼 수가 있습니다.3. Manual Unpacking 방식인데, 좀 꼼수에요. 맨뒤에 코드 부분을 보면 마지막 부분에 브레이크 포인트를 걸어서 실행을 해주면 끝까지 갑니다. JMP를 해 봅시다.4. 그럼 OEP가 나옵니다. 끝.
1. Easy Keygen의 ReadMe 힌트네요. 시리얼 값이 5B~~ 일때의 Name을 찾으시오.2. string값을 보고 들어갑니다.3. 네임을 입력받는 부분.4. 여기가 주요 구문입니다. CMP ESI,3 으로 for문으로 3번 반복한다는 소리입니다. 5. 색을 칠한 3개중 첫 번째에는 제가 입력한 1234의 1(31) 2(32) 3(33) 4(34) 이고 두 번째에는 10,20,30이 반복하면서 ECX, EDX의 값에 삽입합니다. 그리고 ECX와 EDX가 XOR로 계산이 됩니다. 6. 스택에 삽입된 10,20,30 31,32,33,34 7. XOR된 21120324입니다.8. 시리얼 값을 입력합니다. 9. 다른 구문이 나옵니다. 자세히 보시면 입력한 Serial 값과 위에서 XOR된 값(2112..
1. String 값을 찾아봅시다.2. 위쪽에 단서가 보이는 Text가 보이네요. Congratulation !! 문자열로 들어가봅시다. 3. 함수 윗 부분에 브레이크 포인트를 걸고 실행을 합시다.4. 실행을하면 임의의 숫자를 입력합니다.5. 밑의 반복문을 들여다 보면 CMP 부터 '61'과 비교하면서 제가 입력한 '1234'와 'Ea5yR3versing' 을 비교하면서 맞으면 성공 메시지를 출력하는 형태에요. 직접 디버깅 해보면서 하나하나 눈으로 스택을 확인하는게 중요합니다! 6. Clear
- Total
- Today
- Yesterday
- Bisonal
- 멋쟁이사자처럼 4기
- 악성코드
- 비트코인
- infostealer
- MS-Office
- Cisco Talos
- VirusBulletin
- 해킹메일
- CVE-2018-9375
- 위협정보공유
- Flybits
- Static Analysis Engine
- CVE-2018-0798
- us-cert
- keylogger
- Kimsuky
- 한글악성코드
- idapython
- Decoding
- 출처 : Do it 안드로이드 프로그래밍
- vuln
- AMSI
- koodous
- malware
- .wll
- Servey
- cuckoo-sandbox
- Yara
- 스피어피싱
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 |