전체 글 썸네일형 리스트형 - Windows 메시지 후킹 # Windows 메시지 후킹 정리. 1. Hook (훅)- 갈고리, 낚시바늘과 같은 뜻을 의미하며, Windows 메시지 후킹에서 의미하는 훅의 의미는 정보를 엿보거나 가로채는 경우를 Hook이라는 말을 사용합니다. # 중간에서 오고가는 정보를 엿보거나 가로채기 위해 초소를 설치하는 일을 훅(Hook)을 건다라고 하고, 실제로 정보를 엿보고 조작하는 행위를 후킹(Hooking)한다 라고 말합니다. 2. 메시지 훅- Windows 운영체제는 사용자에게 GUI(Graphic User Interface)를 제공해주고, 사용자는 제공받은 GUI를 이용하여 하고자하는 행위를 하게 됩니다. 예를 들면, 게임을 한다던가, 음악을 듣는다던가 이러한 행위는 Windows 운영체제에서 Event Driven 방식 처리를.. 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-3] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. # 실습 1-3 Lab01-03.exe 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? [ 그림 1 ] VirustToTal 진단 결과- 안티바이러스 제품 57개중 43개에서 이미 분석되었던것으로 확인할 수 있었습니다. # 질문 (2)- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자. [ 그림 2 ] 패킹 유무 확인 도구를 이용한 패킹 확인- FSG 1.0 패커에 의해 패킹되어 있다는 것을 확인할 수 있었으며, FSG가 'Fast Small.. 더보기 - MySQL Error Code : 1175 MySQL Error. Error Code: 1175. You are using safe update mode and you tried to update a table without a WHERE that uses a KEY column To disable safe mode, toggle the option in Preferences -> SQL Editor and reconnect. 매번 명령어를 까먹는다. 하아... 멍청이. set SQL_SAFE_UPDATES = 0; 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-2] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. 해당 실습 파일들은 http://practicalmalwareanalysis.com/labs/ 에서 제공되고 있습니다. # 실습 1-2 Lab01-02.exe 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? [ 그림 1 ] VirustToTal 진단 결과- 기존 안티바이러스 29개에서 분석이되어 진단된 것을 확인할 수 있었습니다. # 질문 (2)- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자. [ 그림 2 ] Lab01-02.exe 패킹 .. 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-1] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. 해당 실습 파일들은 http://practicalmalwareanalysis.com/labs/ 에서 제공되고 있습니다. # 실습 1-1 Lab01-01.exe / Lab01-01.dll 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가? [ 그림 1 ] Lab01-01.exe VirusTotal 분석- 해당 파일이 최초로 2012-02-16 에 이미 분석됬다는 것을 확인할 수 있었다. [ 그림 2 ] Lab01-01.exe VirusTotal 분석 결과- 기존 안티바이러스 시그니처 존재하는 파일이였으며.. 더보기 - 악성코드 (MaxRootkit_2011_1.exe) 분석 - 미완. # Malware File Name : MaxRootkit_2011_1.ex # 분석환경- Windows XP SP3 x86- Ubuntu x64 1. 초기분석 1.1 안티바이러스 스캐닝 ( VirusToTal) [ 그림 1 ] MaxRootkit_2011_1.ex Virustotal 안티바이러스 스캐닝 결과 (진단 결과)- Trojan / Rootkit / Downloader 등으로 진단- 위와 같은 내용을 통해서, 루트권한을 획득한 공격자가 피해자의 PC에 악성코드를 은폐시키고, 추가적인 악성코드를 다운받는 식의 행위가 예상된다. [ 그림 2 ] MaxRootkit_2011_1.ex Virustotal 안티바이러스 스캐닝 결과 - File detail 정보- import DLL (ADVAPI32.dl.. 더보기 - 악성코드 분석 환경 구축 (VMware) # 쉬운 악성코드부터 차근 차근 악성코드 분석 연습을 해보려고, 악성코드 분석 환경을 구축해보았습니다. # 가상머신 소프트웨어 : Vmware 11 # Guest PC OS - Ubuntu 13.10 x64 : 아래 3개의 PC에서 악성코드를 실행시켰을 시, 발생하는 네트워크 트래픽을 모니터링하는 역할 - Windows 7 professional k x86- Windows 7 Ultimate k x64- Windows XP SP3 x86 : 실제로 악성코드를 실행 시킬 Guest PC - 총 4개의 Guest OS (NAT 방식으로 네트워크 설정) / Ubuntu OS의 IP 주소를 기본 게이트웨이 주소로 설정해주어서, 트래픽을 모니터링할 Ubuntu OS를 거쳐 인터넷이 가능하도록 설정하였습니다. - .. 더보기 - _tmain(), main(), wmain() * _tmain() , main() , wmain() - main이라는 특수 함수는 모든 C 및 C++ 프로그램의 실행이 시작되는 지점.- 유니코드 프로그래밍 모델을 따르는 코드를 작성할 경우 main의 와이드 문자 버전인 wmain을 사용 할 수 있다라고 MSDN에 잘 설명되어있음. - _tmain()은 Visual Studio에서 Win32 콘솔 응용 프로그램 프로젝트를 생성하면 생기는 함수.- MSDN에 자세하게 설명이 나와있는데, _tmain()은 TCHAR.h에 아래와 같이 정의되어 있음. #define _tmain wmain - 즉, _tmain()은 wmain()과 같은 거였음.- 그리고 _tmain()을 사용했을 때, 유니코드가 정의되어 있지 않으면 main으로 확인되고, 유니코드가 정의된.. 더보기 이전 1 2 3 4 5 6 다음
