Security (6) 썸네일형 리스트형 [난독화] 난독화 종류 Obfuscation 은 다음과 같이 크게 4가지로 나뉠 수가 있다- Layout Obfuscation- Data Obfuscation- Control-flow Obfuscation- Preventive Obfuscation Layout Obfuscation- Changing Variable- Removing Comments Data Obfuscation- Encoding- Split array- Change Ordering Preventive Obfuscation- Use Know Weakness (일부러 취약점이 있는곳으로 유인, 취약점에서 honeypot 으로 생각하면 될듯)* Honeypots : https://en.wikipedia.org/wiki/Honeypot_(computing) Contr.. [분석] nossvc[nProtect].exe 분석 프로젝트(1) 먼저 nProtect.exe 의 프로그램을 분석해보자. Ollydbg에는 바로 안들어간다 아무래도 anti-analysis 기법이 적용되어있는듯함 다시 돌아가서 PE_View 툴을 사용하여 exe 의 구조를 살펴보았음. 여기서 특이점을 볼수가 있는데. 바로 맨밑에 두개의 섹션 이름이다1. SECTION rmyrxlrl2. SECTION gpjbwpzy 이 두개의 섹션이 있으면 난독화 도구의 한종류인 [Themida]가 적용되어있을거라 예상가능.참고로 Themida 난독화 도구를 사용했을때 다음과같은 특징이있음: 1. 맨뒤의 섹션의 이름이 랜덤으로 8바이트로 생성되어짐2. 옛날 버전이면 .Themida라는 섹션이 있음 따라서 해당 exe파일은 themida에 의해서 난독화가 되어진거같음. 지금 생각나는 방.. [KLEE] docker를 이용한 KLEE 설치 *주의사항운영체제 : Ubuntu 14.04 로 해야지 정신건강에 좋음 (참조: https://subicura.com/2017/01/19/docker-guide-for-beginners-2.html )원래는 로컬에 설치할려고했는데 너무 복잡해서 docker를 이용해서 설치를 진행 curl -fsSL https://get.docker.com/ | sudo sh docker 설치 명령어는 위와 같음 그리고 docker를 매번 사용할 때 마다 앞에 sudo를 붙혀줘야하는데 sudo가 붙이기 귀찮으면 밑에와 같은 명령어 입력sudo usermod -aG docker $USER # 현재 접속중인 사용자에게 권한주기 sudo usermod -aG docker your-user # your-user 사용자에게 권한주.. [KLEE] 설치과정중 libisl10 라이브러리 오류 KLEE설치 과정중 llvm-3.4-dev를 설치할 때 libisl10 라이브러리가 없다며 오류가 뜨는데 다음과 같이 해결 할 수가 있다. 먼저 /etc/apt/sources.list 파일을 수정해야한다 필자는 vim을 이용하여 수정을 진행 그 다음 그림과 같이 한 줄을 추가한다 deb http://cz.archive.ubuntu.com/ubuntu trusty main 이후 다음과 같은 명령어를 차례대로 실행하면 llvm-3.4-dev를 깔 수가 있다. $ sudo apt-get update$ sudo apt-get install libisl10 [PE] PE Format 공부. 2 새롭게 배운 명령어 PUSHAD : 8개의 범용 레지스터(EAX ~ EDI)의 값을 스택에 저장하는 명령어POPAD : PUSHAD 명령에 의해서 스택에 저장된 값을 다시 각 레지스터들에게 입력하는 명령어 [PE]PE Format 공부. 1 VA(Virtual Address) : 프로세스 가상 메모리의 절대주소RVA(Relative Virtual Address) : 어느 기준 위치(ImageBase)에서부터의 상대주소를 말함 즉. 두개의 관계를 식으로 표현하면 RVA + ImageBase = VA IAT(Import Address Table) : Windows 운영체제의 핵심 개념인 process, memory, DLL 구조 등에 대한 내용이 함축되어 있음. 쉽게 말해 프로그램이 어떤 라이브러리에서 어떤 함수를 사용하고 있는지를 기술한 테이블 Import Address Table 예시 IAT는 DLL(Dynamic Linked Library)과 밀접한 관계가 있는데, DLL이 나오기 이전에 어떤 함수를 사용했을 때, 그 함수의 바이너리 코드.. 이전 1 다음
