Bufferoverflow 예제로, 취약한 strcpy 함수를 후킹하여 두 번째 인자인 source(쉘코드!?)를 로그에 출력한다. 1234567891011121314151617181920212223242526272829303132333435363738394041424344import immlibfrom immlib import BpHook DESC = "BpHook Basic Demonstration for the SPSE course" class StrcpyBpHook(BpHook): def _init_(self): BpHook.__init__(self) def run(self, regs): imm = immlib.Debugger() imm.log("StrcpyBpHook Called!") # str..
immlib.py를 사용하기 위해 아래와 같이 import를 시킨 후에 Debugger() 클래스를 가져와야 한다.1from immlib import *imm = Debugger()cs imm.log("msg")- Log 윈도우에 메시지를 남김 (Alt + L) imm.updateLog()- Log 윈도우 업데이트 imm.setStatusBar("msg")- 상태창에 메시지 설정 imm.clearStatusBar()- 상태창에 설정된 메시지 지움 imm.stepIn() - F7 imm.stepOver() - F8 imm.Run() - F9 imm.runTillRet() - Ctrl + F9 imm.setBreakpoint(0x00000000)- 브레이크 포인트 설정 imm.deleteBreakpoint(..
Immunity Debugger PyCommands - openfile.py
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다. 스크립트는 아래와 같다.1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python """(c) Immunity, Inc. 2004-2007U{Immunity Inc.}openfile example""" __VERSION__ = '1.0' DESC=..
Immunity Debugger PyCommands - usage.py
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다. 스크립트는 아래와 같다.123456789101112131415161718192021222324252627282930313233343536373839#!/usr/bin/env python """(c) Immunity, Inc. 2004 - 2007U{Immunity Inc.}""" __VERSION__ = '1.0' impor..
○ BpHook/LogBpHook - 브레이크포인트가 발생할 때 호출된다. BpHook은 디버깅 대상 프로세스를 일시 정지시키지만 LogBpHook은 그렇지 않다.○ AllExceptHook - 프로세스 내부에서 종류에 상관없이 예외가 발생하기만 하면 호출된다.○ PostAnalysisHook - 디버거가 로드된 모듈에 대한 분석 작업을 끝냈을 때 이 후킹이 호출된다. 디버거의 분석 작업이 끝난 후에 자동으로 정적 분석 작업을 수행해야 하는 경우에 유용하게 사용할 수 있다. immlib를 이용해 함수와 기본적인 코드 블록을 해석하기 전에 모듈(실행 파일 포함해) 이 먼저 분석돼야 하는 것이 중요하다.○ AccessViolationHook - 접근 위반이 발생할 때마다 호출된다. 퍼징 작업을 수행하는 동안..
Immunity Debugger PyCommands - list.py
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다. 스크립트는 아래와 같다.1234567891011121314151617181920212223242526272829303132333435363738394041#!/usr/bin/env python """(c) Immunity, Inc. 2004-2007U{Immunity Inc.}List all pycommands with it..
문제 : https://tuts4you.com/
Immunity Debugger PyCommands 정리 readme
* Immunity Debugger PyCommands를 활용하여 분석에 도움을 주기 위해 정리하는 글로 필자가 만든 코드가 아니며 Immunity Debugger를 설치하게 되면 'Immunity Debugger - PyCommands' 폴더에 존재하는 코드들이다. 최종 목표로는 기존 플러그인을 자유롭게 활용하고 새로운 나만의 플러그인들을 개발하여 정적 분석을 자동화 하는 것이다* Immunity Plugin 개발(아래 주소와 같이 간단하게 스크립트를 작성하면 원하는 결과물을 손쉽게 얻을 수 있다.)- http://suspected.tistory.com/160. *환경 : WindowsXP 1. 설치- http://debugger.immunityinc.com/ 2. 설치 후 아래 경로를 통해 작업 시작
- Total
- Today
- Yesterday
- Bisonal
- infostealer
- cuckoo-sandbox
- 멋쟁이사자처럼 4기
- MS-Office
- Decoding
- Cisco Talos
- 해킹메일
- Yara
- Servey
- vuln
- CVE-2018-0798
- koodous
- 위협정보공유
- CVE-2018-9375
- keylogger
- .wll
- 스피어피싱
- AMSI
- Static Analysis Engine
- Flybits
- malware
- 한글악성코드
- us-cert
- 악성코드
- 비트코인
- Kimsuky
- idapython
- 출처 : Do it 안드로이드 프로그래밍
- VirusBulletin
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |