본문 바로가기

어셈

차세대 보안전문가 포럼 보안 특강 5탄 루트킷 탐지 기법 후기. 보안실무자를 위한 보안특강... 보안 특강 5탄 주제: 루트킷 탐지 기법 - 강사: 노용환, FSK시큐리티 연구팀장(somma, Blog: http://somma.egloos.com) 이번 특강에서는 악성코드에서 많이 사용되는 루트킷 기술을 설명하고 이를 탐지하는 방법을 FSK시큐리티의 일명 somma로 잘 알려진 노용환 연구팀장님께서 쉽게 시연을 통해 설명합니다. 1. 일시: 2010년 11월 10일 수요일 저녁 7시 ~ 9시 30분 2. 장소: 삼양사 본관 1층 강당 (1호선 종로5가역 하차, 1번 출구 도보 2분) 3. 대상: 국방/공공/민간/교육 보안실무담당자, 구직자, 학생 등 (난이도: 초/중) 4. 참가비: 무료 (선착순 100명) 5. 주최: FSK시큐리티 6. 주관: - 한국정보기술연구원.. 더보기
헥스에디터(Hex-Editors) 헥스에디터(Hex-editors) : 바이너리 파일을 분석하거나 수정할 때 사용한다. 파일을 16진수 코드로 보여준다. (참고 : 16진수 코드나 어셈코드나 같은겁니다. 어셈코드는 16진수 코드를 우리가 보기 쉽게 문자로 치환했을 뿐입니다. 예를 들어 16진수로 0x6A 라는 숫자가 어떤 일을 한다고 했을때 이 숫자만 보고 그 일을 한다는 것을 사람이 알기에 쉽지 않으므로 여기에 PUSH 라는 이름을 붙여 사람이 해석하기 쉽게 해주는겁니다. 즉 16진수 코드랑 어셈코드는 같은 것을 표현하는데 숫자냐, 문자냐일 뿐인것이죠) .exe나 .dll 같은 윈도우 PE 구조의 파일이나 확장자가 없거나 다른 확장자의 파일을 분석할때 헥스에디터로 열어서 그 바이너리 파일의 헤더를 보고 어떤 종류의 파일인지 (참고 : .. 더보기
안티 디버깅(Anti-Debugging) 안티 디버깅(Anti-Debugging) : 디버깅을 방지하고 분석을 하지 못하도록 하는 기술. 디버깅을 당한다면 해당 디버거 프로그램을 종료시키거나 에러를 발생시키는 방법등 다양한 방법을 사용하여 분석을 방해한다. (참고 : 디버깅(Debugging) : 프로그램의 특정 부분에 Break Point를 설정한 후 실행을 하면 그 위치에 프로그램이 멈추게 되며 메모리에 값이 제대로 들어가 있는지, 코딩한 흐름대로 프로그램이 진행되는지 단계적으로 실행할 수 있다) 안티 디버깅 기술에는 수많은 방법들이 존재하며 계속 발전하고 있으며 이에 따라 이를 우회하는 기술도 계속적으로 발전하고 있다. CheckRemoteDebuggerPresent() Windows API Detecting Breakpoints by C.. 더보기
아이다(IDA)의 Debugging - IF문 분석 C언어로 if문을 컴파일한 것을 IDA로 분석해보자. #include void main() { int a = 3; int b = 5; if( a > b) { printf(" a 가 크다 "); } else { printf(" b 가 크다 "); } } IDA 그래프 기능으로 본 해당 소스의 흐름이다. 가운데 지점에서 빨간선과 초록선으로 분기하고 각각의 일을 실행한 후 하나로 합쳐지며 프로그램이 종료된다. .text:00411390 push ebp 에 breakpoint를 설정한다. 디버그 모드로 전환(F9)하여 분석을 해보겠다. 다음은 Main함수이다. .text:00411390 main proc near ; CODE XREF: j_mainj .text:00411390 .text:00411390 var_.. 더보기
아이다(IDA)의 Debugging - FOR문 분석 C언어로 for문을 컴파일한 것을 IDA로 분석해보자. #include int main(void) { int i = 0; int result = 0; for ( i ; i 더보기
아이다(IDA)의 Debugging - Stack 분석 IDA의 디버깅을 통한 스택의 Stack 분석 분석해볼 프로그램은 IDA의 사용법을 알아보기 위해 예제로 썻던 것을 계속 쓰겠다. 다시 한번 설명하면 func( ) 함수에 세 개의 값을 파라미터로 전달하고 그 값들의 합을 리턴하는 프로그램이다. #include func(int a, int b, int c) { return a+b+c; } int main(void) { int sum; sum = func(1, 2, 3); return sum; } 프로그램이 실행되기 전의 Stack이다. ESP, EBP의 위치를 살펴본다. .text:00401060 push ebp : EBP가 가리키는 곳이 SFP(Saved Frame Pointer)로 변하고, 그 윗부분이 RET로 바뀌며 스택에 EBP값 12FFC0h값을.. 더보기
아이다(IDA) 사용법 디스어셈블러 : 바이너리 파일을 역으로 어셈블리어로 재구성해주는 툴 IDA가 거의 독보적인 자리를 차지하고 있고, 기능도 다양하다. 아이다(IDA)의 장점 : 1. 거의 모든 CPU를 지원 2. FLIRT(Fast Library Identification and Recognition Technology)는 기계어의 코드로부터 컴파일러 특유의 Library 함수를 산출해낼 수 있는 강력한 기능 3. 각종 플러그인 지원 4. Obfuscation(난독화) 코드도 해석이 잘됨 IDA 설정 : IDA의 설정 파일은 ..\IDA\cfg 경로에 있으며 세부 설정을 할 수 있다. 단축키(idagui)를 재설정할 수 있고 disable된 설정을 enable시킬 수도 있다. 디스어셈블 상태와 디버깅 상태에서 특정 어셈블.. 더보기
올리디버거(OllyDBG)를 이용한 KeyFile 체크 문제 풀이와 바이너리 수정 KeyFile : 인증을 위해서 시리얼키를 원하는 것과 비슷하게 키값을 파일에 저장하거나 어떤 파일 이름이 같은 위치에 있는 것을 확인하는 인증을 할 때 사용되는 파일을 의미한다. 파일과 관련된 문제에서는 파일이나 레지스트리 사용하는 것을 확인하기 위해서 모니터링툴을 사용하는데, Filemon을 주로 사용할 것이다. (Filemon 사용법 참고 : http://dakuo.tistory.com/22) CrackMe 15 문제를 풀어보도록 하겠다. 다운로드 하여 Project1.exe을 실행해보면 올리디버거로 열어서 스트링에 참고할 만한 내용이 있는지 찾아본다. 스트링 추출을 하고 살펴보면 solved라는 문자열을 보인다. 이상한 점은 File Monitor라고 해서 Sysinternals 홈페이지 표시되어.. 더보기
올리디버거(OllyDBG)를 이용한 키젠(Keygen) 문제 풀이 키젠 문제는 프랑스의 haiklr라는 아이디를 쓰는 사람의 홈페이지에서 다운받았다. http://haiklr.new.fr/ 문제를 다운로드 받아서 압축을 풀어보면 ReadMe.txt 파일이 있다. Type : Keygenme Level : Newbie Langage : C (console) Packed : Non 시리얼키들을 생성해내는 문제고, 난이도는 쉬운 편이며, C언어 콘솔어플리케이션이고, 패킹은 하지 않았다고 설명되어 있다. 문제를 실행해보자. Name과 Serial을 입력하라고 나타난다. 입력을 하니까 '잘못된 패스워드'라는 문자열이 출력된다. 올리디버거로 열어서 어떤 알고리즘에 의해서 잘못된 패스워드로 판단했는지 확인해보고 정확한 시리얼값을 찾아보겠다. 문제 파일을 열고, 마우스 우클릭 메뉴에.. 더보기
스택과 콜링컨벤션의 이해 Function(1, 2)라고 선언이 된 함수가 사용된다면 push 2 push 1 call 004017E0 이와 같은 어셈블리 코드가 되는데, 파라미터는 뒤에서부터 push가 된다. 그 이유는 스택(stack)에 값을 순서대로 쌓아놓고, 나중에 쌓인 값을 우선으로 해 빼서 사용하기 때문이다. 일반적인 메모리 구조는 그림과 같다. 프로그램이 실행되기 위해서는 실행에 필요한 모든 것들이 메모리에 적재되어야만 한다. Text : 컴파일된 프로그램 소스가 기계어의 형태로 위치 Data : 프로그램에서 초기화된 데이터들의 위치 BSS : 초기화되지 않은 변수들의 위치. 항상 0으로 초기화됨 Stack : 지역변수, Command Line arguments 위치 Heap : 동적으로 할당된 변수들이 위치 Stac.. 더보기
상황별 기초 어셈블리어 어셈블리 명령어를 상황별로 어떻게 사용되는지 정리해보며 공부해보자. 1. 데이터 이동 : 어셈블리에서 데이터를 옮기고자 할때는 MOV 명령어를 사용한다. MOV [복사될 곳], [읽어들일 곳] MOV EAX, EBX의 경우 EBX 레지스터를 EAX에 대입한다. MOV EAX, [EBX]로 표현되어 있는 경우에는 EBX가 가리키는 값을 EAX에 대입한다. MOV EAX, [EBP+10]의 경우 EBP의 주소에서 20만큼 증가한 주소지의 값을 EAX에 대입한다 MOV EAX, [EBP-10]의 경우 EBP의 주소에서 20만큼 감소한 주소지의 값을 EAX에 대입한다 [EBP+10]과 [EBP-10]의 경우에 함수 내부에 존재하는 명령이었다면 EBP를 기준으로 10 증가된 경우에는 파라미터로 넘어오는 값일 수 .. 더보기
기초 어셈블리어. 데이터 타입 : 타입 설 명 BYTE 8bit 부호 없는 정수 SBYTE 8bit 부호 있는 정수 WORD 16bit 부호 없는 정수 SWORD 16bit 부호 있는 정수 DWORD 33bit 부호 없는 정수 SDWORD 32bit 부호 있는 정수 FWORD 48bit 정수 QWORD 64bit 정수 TBYTE 80비트 정수 피연산자(operand) 타입 : 피연산자 설 명 r8 8bit 범용 레지스터 r16 16bit 범용 레지스터 r32 32bit 범용 레지스터 Reg 임의의 범용 레지스터 Sreg 16bit 세그먼트 레지스터 imm 8, 16, 32bit 즉시값 imm8 8bit 즉시값 imm16 16bit 즉시값 imm32 32bit 즉시값 r/m8 8bt 범용 레지스터, 메모리 r/m16 16b.. 더보기
올리디버거(OllyDBG)를 이용한 CrackMe 문제 풀이 crackme author : abex type : cdrom check level : easy tute author : HaQue Ollydbg.exe 실행해서 abexcm1.exe를 open한다. 프로그램이 어떻게 작동되는지 보기 위해 Run(F9)을 한다. 첫 번째 메시지박스가 나타나고, 확인을 클릭하면 두 번째 메시지박스가 나타난다. 확인을 클릭하고 올리디버거를 보면 프로그램이 종료되었음을 알 수 있다. 첫번째 메시지박스에는 CD-ROM을 체크하는 루틴을 우회하라고 나오고 두번째 메시지박스에는 CD-ROM이 아니라고 하며 프로그램이 종료되었다. 이 문제를 푸는 방법에는 메모리 주소 흐름을 바꾸는 방법과, CD-ROM을 체크하는 함수의 리턴값을 변경해서 푸는 방법 2가지 방법이 있다. 1번 방법 풀.. 더보기