[분석환경] Windows 10 Pro 64bit [분석도구] PEiD, Stud_PE, BinText, PEView, OllyDbg 1. DLL(Dynamic Load Library)? 동적 연결 라이브러리의 약자이다. 한번 로딩된 DLL의 코드, 리소스는 Memory Mapping 기술로 여러 Process에서 공유, 업데이트 시 DLL 파일만 교체 실행 환경의 dll버전차이, 호출 함수의 위치(주소) 불확실 등의 이유로 사용한다. 컴파일러 – 함수의 실제 주소가 저장될 위치만 준비 후 CALL PE 로더 – 준비한 위치에 실제 함수의 주소를 입력 코딩할 때 실제 주소를 하드코딩하지 않음 DLL 사용 시 응용프로그램의 모듈화 - 쉬운 기능 업데이트, 재사용의 장점 중복코드 사용의 감소로 적은 리소스 ..
Preview Windows 환경 리버싱 공부 중 안티 리버싱 기법들이 오래된 OS 버전을 기준으로 하고 있어서 Windows 10 x64에도 가능한 기법을 새로 조사, 실습하여 정리한다. 이 포스트는 이전 포스트에서 이어지는 글이다. https://gomguk.tistory.com/45 [분석환경] Windows 10 x64 1903 [개발 & 분석도구] Visual Studio 2012(v110), OllyDbg, IDA Pro CheckRemoteDebuggerPresent() Windows XP 이상부터 꾸준히 사용되는 기법. ZwQueryInformation()을 사용하여 Debug Port 정보를 얻는다. MSDN에서 제공하는 정보는 다음과 같다. 프로세스 핸들과 디버그된 상태를 알려줄 변수 ..
Preview Windows 환경 리버싱 공부 중 안티 리버싱 기법들이 오래된 OS 버전을 기준으로 하고 있어서 Windows 10 x64에도 가능한 기법을 새로 조사, 실습하여 정리한다. [분석환경] Windows 10 x64 1903 [개발 & 분석도구] Visual Studio 2012(v110), OllyDbg, IDA Pro Anti Reversing - 디버깅을 방지하고 분석하지 못하도록 막는기술 - 디버깅 발생 시 프로그램 종료 및 에러를 발생시켜 분석을 방해 - 안티 디버깅 기술의 발전 및 이를 우회하는 기술 또한 함께 발전 안티 디버깅 종류 Static Dynamic 디버깅 시작 시 동작 디버깅하면서 안티디버깅 기법을 만날때마다 해결 디버거 탐지하여 정상적인 실행 불가 디버깅 도중 수시로..
[분석환경] Windows 7 Ultimate 64bit [분석도구] PEiD, Stud_PE, BinText, PEView, OllyDbg, IDA Pro 리버싱 실력 향상을 위해 악성코드 분석을 하던 중 랜섬웨어를 분석하게 되어 정리로 남겨둔다. 자동화된 도구의 사용을 최대한 배제하였다.(IDA Hex-Ray 등). 분석에 사용한 바이너리는 교내 사이버보안 연구센터에서 제공받았으며 블로그를 통해 공유하지 않는다. 랜섬웨어(Ransomware) 랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. 컴퓨터로의 접근이 제한되기 때문에 제한을 없애려면 해당 악성 프로그램을 개발한 자에게 지불을 강요받게 된다. 위키백과 Petya MBR Locker 랜섬웨..
CTF 문제 중 2013 CSAW Reversing 2 200point 문제를 풀어봤습니다. 문제 출제 설명에 We got a little lazy so we just tweaked an old one a bit 라고 13년도나 14년도나 문제는 많이 다르지 않은 것 같습니다. 오랜만에 한 리버싱이라 느낌을 찾는다는 생각으로 해보았습니다. 문제파일인 csaw2013reversing2.exe 을 직접 실행시키면 에러가 발생하거나 아무것도 출력되지 않고 창이 종료됩니다. ollydbg Searchfor - All referenced text Strings를 보면 Flag 관련 문자열이 보입니다. 해당주소로 따라갑니다. 바로 메인함수가 나오고 BP(F2)를 걸어준 후 실행(F9)해봅니다. 알 수 없는 문자들의..