악성코드와 하율파파

실습 9-1 1. 어떻게 하면 악성코드가 자신을 설치하게 할 수 있는가? 입력받은 인자값은 argc, argv 두 개를 인자값 으로 받는다. 00402510 에서 받는 인자값은 다음 과 같다. 처음 인자값의 길이가 4인지 확인하고, 문자열을 하나씩 읽어와서 비교한다. 처음 61=a(16진수)이며, 문자를 1씩 증가하며 문자를 비교한다. 즉, 00402510 에서 받는 인자값은 abcd 이다. 2. 이 프로그램의 커맨드라인 옵션은 무엇인가? 패스워드 요건은 무엇인가? 커맨드라인 옵션 -in : 설치 -re : 삭제 -c : 업데이트 -cc : 출력 패스워드 : 4문자, abcd 3.이 악성코드가 특수 커맨드라인 패스워드를 요구하지 않게 영구 패치하려면 OllyDbg로 어떻게 해야 하는가? 00402510에..

실습 7-1 1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보 장하는가? 서비스에 Malservice로 등록하여 시스템 부팅 시 서비스로 동작할 수 있도록 한다. 2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가? 프로그램이 한번에 하나만 실행할 수 있도록 뮤텍스 생성 3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가? Malservice이름으로 서비스 생성. HGL345라는 고유 명칭의 뮤텍스 생성. 4. 이 악성코드를 탐지할 때 네트원크 기반으로 좋은 시그니처는 무엇인가? http://www.malwareanalysisbook.com에 지속적으로 접근한다. 5. 이 프로그램의 목적은 무엇인가? HGL345 뮤텍스 생성하여 Malservice서비스..

실습6-1 1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가? if문으로 되어있으며, 인터넷 상태를 받아와 있터넷이 연결 상태를 받아와 Success: Internet Connection를 출력하거나 Error 1.1: No Internet을 출력한다. 2. 0x40105F에 위치한 서브루틴은 무엇인가? 프로그램을 실행해 보면 위와같이 출력된다. 0x40105F는 프로그램 특성상 유추해 보면 printf 이다. 3. 이 프로그램의 목적은 무엇인가? InternetGetConnectedState 함수를 이용해 값을 받아와 1 = True (인터넷에 연결) 이면 Success: Internet Connection를 출력하거나 0 = False (인터넷에 연결되어있지 않음)이면 Erro..

디버깅을 시작하기전에 파일을 실행시켜 어떤 프로그램인지 살펴 봅니다. 현재 실행해보면HD 를 CD-ROM 으로 인식하도록 만들라고 합니다.확인을 누르면 CD-ROM 드라이브가 아니라고 나오네요...실행해보니 abex crackme1은 CD-ROM 드라이브로 인식하게 만들어주면 되는것 같습니다. CodeWindow 창을 살펴보겠습니다. 몇줄 안되네요....comment 창을 보시면 아까 봤던 출력창의 내용들이 있네요그 아래 보시면 조금 짤렷지만 YEAH!! "OK, I really think that your HD is a CD-ROM! :p" 라는 문구가 보입니다.아마도 성공했을때의 메시지로 생각됩니다. 시작인 401000 번지부터 살펴보겠습니다. 401002 번지와 401007 번지에서 00402000..

리버싱을 공부하다 보면 필히 어셈블리어를 공부해야 합니다.그런 어셈블리어 명령의 대부분이 레지스터값을 조작하는 명령어들입니다.ollydbg 프로그램을 이용할때 레지스터 윈도우창에 EAX, EBX, ECX, ESI등이 보일텐데요.이는 레지스터 값으로써, 오늘은 이 레지스터 값에대해 알아보는 시간을 준비했습니다.​CPU 와 레지스터 가 뭔지 알아보고 넘어갑시다.​CPU? 중앙처리장치(CPU)는 컴퓨터의 가장 중요한 부분으로 프로그램 명령을 해독하고 수행하는 장치입니다.CPU가 수행하는 명령어는 매우 단순합니다 이 명령어들은 레지스터에 있는 값들을 필요로 합니다.​​Register?​레지스터는 CPU 내부에 존재하는 저장 공간으로 일반적인 데이터 저장소 보다 훨씬 빠르게 접근할 수 있으나,레지스터의 크기가 매..