Hacker Dakuo154 시스템 모니터링 툴 파일과 레지스트리 변화와 네트워크 상태, 프로세스의 상태를 분석하는 툴들을 소개한다. (2010. 11. 15. 월요일 확인결과 Filemon 이 없어지고 Process Moniter 가 생겼네요. 사용법은 똑같으니 다운받아서 아래처럼 사용하세요 ㅎㅎ) ProcessMonitor : 어플리케이션이 파일들을 어떻게 사용하는지 실시간으로 모니터링해서 오픈, 읽기, 쓰기, 삭제 등의 상황을 정확히 출력해준다. Filemon.exe를 실행하면 돋보기 모양 : 모니터링(Ctrl+E), 모리시계모양 : 필터링(Ctrl+L) 돋보기 모양의 모니터링 버튼(Ctrl+E)을 이용하여 모니터링 시작 · 중지를 할수 있다. 프로그램을 켜놓기만 하면 이벤트 정보가 로그로 쌓이지만 그 양이 너무 많아서 옵션을 주어야 한다. 먼저.. 2009. 11. 1. 리버싱 수행단계 리버싱을 위해서 툴을 사용하는 기본적인 순서이다. 1. 바이너리 분석 2. 문자열 분석 및 Api와 Dll, Event 분석 3. 모니터링을 통한 파일 및 레지스트리, 네트워크 패킷 분석 4. 디스어셈블러나 디버거를 이용한 분석 1. 바이너리 분석, 컴파일러 확인, 패커 여부를 파악한 후에 어떤 언어로 코딩되어 있는지 확인한다. 사용되는 툴 : PEID, HEX Workshop 2. 어떠한 문자열들이 들어있는지 대략적으로 살펴보고, 어떤 Api를 사용했는지, 어떤 Dll을 로딩하는지 주요 이벤트 시점의 위치에 대해서 분석한다. 사용되는 툴 : Dependency Walker, Dumpbin, Strings 3. 모니터링을 해본다. 외부의 시스템과 어떤 패킷이 오가는지도 확인한다. 사용되는 툴 : Proc.. 2009. 10. 31. SBS 스페셜 최악의 시나리오 3부 - 사이버 아마겟돈 해킹에 대해 다룬건데 아주 흥미로울 것 같아서 이렇게 글을 씁니다. 저희 동아리 선배( hkpco 박찬암 )가 나오는 것도 있긴 하지만요. ㅎ 뭐 아무튼 내용입니다. 최악의 시나리오 3부 - 사이버 아마겟돈 방송날짜 : 2009년 11월 1일 밤 11시 20분 ■ 연출 : 장경수 / 구성 : 장윤정 ■ 기획 의도 지금 당신의 컴퓨터가 누군가에 의해 조종되고 있다면? 2009년 7월7일 이러한 가정은 현실이 됐다. 수십만 대의 컴퓨터를 악성코드로 감염시켜 공격자의 주문대로 움직이는 좀비PC를 만든 뒤 특정 사이트들을 공격, 마비시키는 이른바 D.DOS 공격이 대한민국을 강타한 것이다. 얼굴을 가린 베일 속의 공격자는 수십만 대의 좀비 PC를 이용해 청와대와 주요 국가기관의 사이트의 서비스를 정지시켰다. 처.. 2009. 10. 29. Windows PE 구조 PE 포맷이란 윈도우 OS가 파일을 실행시키기 위해서 Portable Executable 포맷 (확장자 : .exe와 .dll)을 동적 라이브러리를 링킹하기 위한 참조 값과 API export and import tables, 리소스 데이터와 TLS 데이터를 캡슐화한 것이다. 소스 코드를 컴파일하고 링크를 하여 PE 구조의 실행 파일이 생성되는 과정을 순서도로 보면 실행 파일에는 어떤 내용들이 들어있는지 윈도우 Notepad.exe를 메모장으로 열어보겠다. MZ는 PE를 만든 Mark Zbikowski의 이니셜로써, MS-DOS 헤더의 시작을 알리는 문자이다. "This program cannot be run in DOS mod" 문자열은 DOS 에서 윈도우 프로그램이 실행되면 출력하는 문자열이다. PE.. 2009. 10. 29. 올리디버거(OllyDBG)를 이용한 nag 제거와 윈도우 PE 구조 문제 풀이 레나(Lena)라는 제작자가 리버싱 플래시 강좌 40강 중에 3번 강좌에 있는 RegisterMe.exe와 RegisterMe.Oops.exe파일을 풀어보겠다. 강좌 파일을 다운로드 받으면 연습 문제와 강의 파일이 모두 들어 있다. 참고로 관심이 있으신 분들은 1강부터 40강까지 순서대로 모두 보는 것을 추천한다. 자료는 모두 영문이다. 조만간 풀이를 올리도록 하겠다. 문제의 설명을 보면 nag를 제거하고, 헤더 문제를 해결이라고 되있다. nag는 경고창 정도를 의미한다. #03.tutorial 폴더의 files 폴더에 RegisterMe.exe 문제를 올리디버거로 실행해보면 nag 창이 떴다. 확인을 누르면 메인 폼이 뜬다. 종료를 하면 또 nag 창이 뜬다. 처리해야 할 부분은 실행할 때 1번, 종료.. 2009. 10. 29. 올리디버거(OllyDBG)를 이용한 KeyFile 체크 문제 풀이와 바이너리 수정 KeyFile : 인증을 위해서 시리얼키를 원하는 것과 비슷하게 키값을 파일에 저장하거나 어떤 파일 이름이 같은 위치에 있는 것을 확인하는 인증을 할 때 사용되는 파일을 의미한다. 파일과 관련된 문제에서는 파일이나 레지스트리 사용하는 것을 확인하기 위해서 모니터링툴을 사용하는데, Filemon을 주로 사용할 것이다. (Filemon 사용법 참고 : http://dakuo.tistory.com/22) CrackMe 15 문제를 풀어보도록 하겠다. 다운로드 하여 Project1.exe을 실행해보면 올리디버거로 열어서 스트링에 참고할 만한 내용이 있는지 찾아본다. 스트링 추출을 하고 살펴보면 solved라는 문자열을 보인다. 이상한 점은 File Monitor라고 해서 Sysinternals 홈페이지 표시되어.. 2009. 10. 29. 이전 1 ··· 21 22 23 24 25 26 다음
