'보안/악성코드' 카테고리의 글 목록

« 2025/04 »
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

목록보안/악성코드 (103)

문제가 너무 힘들었다. 남은 군생활의 일수가 점점 늘어난다. upx로 패킹이 되어있다. 언패킹 해준다. 안티디버깅을 우회해 준다. bp를 걸고 MessageBoxW함수에 도착했다. ebp에 일수가 쌓인다. ebp와 어떤 값을 비교하는지 찾아주어야 한다. 모든 조건문을 탐색했다. eax에 우리가 원하는 값이 담겨있다. 답 : 2DACE78F80BC92E6D7493423D729448E 다른 사람들의 풀이를 보면 패치하고 덤프를 만들어서 Exe2Aut 프로그램을 사용했다. 자동으로 버튼을 넘길 수 있었다.

보안/악성코드 2023. 2. 7. 20:11

[CodeEngn] Advance RCE 05

패킹이 되어있지 않다 바로 디버거에 올린다. 문자열을 검색해서 의심가는 부분을 분석했다. 문자열 비교 함수를 찾았다. 내가 입력한 값과 비교값을 인자로 넣는다.

보안/악성코드 2023. 2. 7. 07:35

실제 악성코드 분석 - 1

pcap파일을 스구일로 replay 진행했다. 리다이렉트 이벤트 발생 후 악의적인 코드 다운 exe,dll 파일 다운 및 안티 디버깅이 적용되어 있는 이벤트다. redirect 185.189.14.112 JS,EXE 213.136.26.180 C&C 94.198.98.20 client 104.4.26.101 악성 IP에 도메인들이 존재한다. xplico를 통해 도메인 주소 정보를 확인 301 상태값으로 리다이렉트 하는 것을 알 수 있다. 해당 url로 이동 url이동 후 다시 정보를 확인하니 php로 이동하는 모습이다. 해당 다운로드 버튼을 누르면 다른 웹사이트로 이동된다. jgen.php로 이동된다. 해당 주소로 정보를 찾는다. 마이너에서 관련된 파일을 발견했다. 해당 파일을 열어보았다. var uuu..

보안/악성코드 2023. 2. 5. 21:16

[CodeEngn] Advance RCE 04

이번에도 키젠문제 확인할만한 데이터는 없었다. 네임과 시리얼을 입력하고 확인한다. 코드가 암호화되어있었다. xor al,25를 통해 다시 복호화하는 과정이다. 복호화가 끝나고 이동한 후의 위치가 OEP이다. 문자열을 통해 검색하면 분기문이 보인다. 이번에도 strcmp를 통해 비교를 한다. 0x403104의 문자열을 입력해 준다.

보안/악성코드 2023. 1. 30. 15:49

[CodeEngn] Advance RCE 03

패킹이 되어있지 않다. 간단한 키젠 프로그램이다. 12345678을 입력했다. strcmp의 인자값으로 비교값 두 개가 들어가는 것을 확인했다. 같은 값을 입력해주었다.

보안/악성코드 2023. 1. 30. 15:10

악성코드 샘플 분석_3

스구일이 에러 나서 샘플에서 제공된 이벤트 로그를 확인했다. ------------------------------------------------------------------------ Count:5 Event#8.1634 2016-10-14 22:14:42 UTC ET CURRENT_EVENTS Evil Redirector Leading to EK Jul 12 2016 50.56.223.21 -> 10.14.106.192 IPVer=4 hlen=5 tos=0 dlen=1361 ID=0 flags=0 offset=0 ttl=0 chksum=12172 Protocol: 6 sport=80 -> dport=49450 Seq=0 Ack=0 Off=5 Res=0 Flags=******** Win=0 urp..

보안/악성코드 2023. 1. 28. 19:19

[CodeEngn] Advance RCE 02

아이콘부터 섬뜩하다. 프로그램이 실행되자마자 꺼진다. 해당 부분에서 계속 예외발생이 된다. 멈춰가는 부분을 추적해서 계속 info 해주고 분기문을 찾는다. 의심 가는 분기문을 찾았다. flag를 바꾸어 탈출해 준다. 실행이 안되던 프로그램에 문자열이 출력된다. 패스워드를 아무거나 입력해서 비교 구문을 찾아준다. 비밀번호는 CRAAACKED! 이다.

보안/악성코드 2023. 1. 13. 22:54

악성코드 샘플 분석_2

얻어야 할 정보 리스트 - 사용자 이름 - 악성 메일 - 감염 날짜 시간 - 감염 IP, MAC , 호스트 이름 - 악성 관련 IP/ 도매인 메일들을 확인하고 악성 메일을 찾는 과정을 진행했다. 메일들의 첨부파일들을 모두 확인해 주었고 의심 가는 파일을 분석하기로 했다. 파일에 js형식자가 붙어있다. 보통 확장자를 숨기고 사용하는 사용자들이 많기에 그 점을 이용한 듯하다. html은 내용을 확인하기 위해 내가 잠시 붙여둔 확장자이다. 파일을 열어 내용을 확인해 보면 js난독화가 되어있다. 줄맞춤을 정리하고 스크립트 태그로 모두 묶었다. document.write로 웹페이지에 내용을 뛰우기로 했다. var ll 리스트에 도메인 5개가 들어있었다. 스구일을 통해 과정을 분석했다. 사용자가 공격자에게 페이로드..

보안/악성코드 2023. 1. 13. 14:46

이전 1 2 3 4 ··· 13 다음

유성준의 공부 노트

유성준의 공부 노트

목록보안/악성코드 (103)

티스토리툴바