Jaden's Note Jaden's Note

악성코드를 분석하기 위해서 보통 초기 분석 후 심도있게 들어가는 방식으로 분석을 하는데, Office 파일은 정상, 비정상 여부를 판별하여 악성파일을 구분하고 심도있는 분석은 분석가에게 맡기는 방식으로 업무를 하는것이 효과적이라고 한다. 악성코드 분석 단계(*분석 단계를 분류하는 방식은 다양하므로 이런것도 있다고 이해하고 넘어가자*) 1) Triage 2) 이미 감염된 경우 악성코드가 남기는 아티팩트 이해 및 조사 3) 악성코드 파일의 특성 분석 4) 저장된 네트워크 패킷을 통한 상관분석(통계학적인 분석) - TriAge : 초기 검사, 파일의 특성을 검사하여 악성파일인지, 아닌지 구분하는 과정이다. - 오피스 악성코드의 주요 분석 포인트는 다음과 같다. 1) 매크로가 포함되어 있는가? 2) 실행 가능한..

취약점 확인 방법 alert handshake failure이 응답으로 돌아오면 양호 Certificate chain이 돌아오면 취약 openssl s_client -connect www.xxx.com:443 -cipher EXPORT openssl s_client -connect www.xxxx.kr:443 -cipher EXPORT While your question, why are there so many servers offering export ciphersuites, is valid, your description of the problem is in error. FREAK is: ?a class of client-side bugs ?exploitable due to server-side co..

최신버전 http://msdn.microsoft.com/ko-kr/windows/hardware/hh852365 구버전 http://rxwen.blogspot.kr/2010/04/standalone-windbg-v6120002633.html Symbol 다운로드 http://msdn.microsoft.com/ko-KR/kor/windows/hardware/gg463028.aspx 심볼 파일 설정 File->Symbol File Path srv*c:\symbols*http://msdl.microsoft.com/download/symbols 혹은 다운로드 받은 symbol 폴더 경로 입력 Vmware 커널 디버깅 설정 1) 타겟 시스템 boot.ini 파일 설정 c:\notepad boot.ini multi..

view-source:http://도메인/파일 을 활용하여 일부 권한이 없는 소스를 들여다 볼 수 있다. 사용처 1. netforce wargame 1번문제에서 자바스크립트 취약점 파악하는 부분에서 활용해 보았다. 2. 오른쪽 마우스 금지된 블로그에서 소스보기로 다 긁어올 수 있다. 3. 또 다른 활용법은 차차 .. 확인해 보도록 하자. 아직 view-source가 정확히 어떤 놈인지 파악이 안되었다.

디버그 심볼 파일이란? - 실행 파일을 빌드할 때 생성되는 디버그용 정보 파일로 실행파일 안에 존재하는 함수나 변수들의 이름과 위치, 소스파일, 소스라인 정보를 가지고 있다 .pdb를 확장자로 가지고 있으며 소스라인 디버깅을 가능하게 한다 Visual Studio를 사용하는 경우 기본적으로 Debug 빌더 설정이 되어있기 때문에 Symbol 파일이 자동으로 생성되고 디버깅이 가능하다 그리고 일반 회사에서 고객을 위한 프로젝트를 하는 경우 Release를 위해 Release빌더를 하게 되는데 이 경우엔 자동으로 생성되지 않으며 Symbol을 유지하지도 않는다 하지만, 마이크로소프트에서는 운영체제에서 발생하는 문제를 좀 더 쉽게 풀어나가기 위해 Symbol을 공개하고 있다 * 제품이 고객들에게 릴리즈 되기시..

덤프파일 이란? - 윈도우의 커널 모드에서 문제가 발생하면 화면상에 Crash를 알리는 블루스크린이 뜨면서 해당 시스템 드라이브에 루트(c:\)에 페이지파일에 내용을 쓰게 된다. 이 파일을 재부팅할 때 memory.dmp 파일로 생성하는데 이를 덤프파일이라 부른다 덤프 파일에는 Crash 당시 메모리 상태를 그대로 저장해 놓기 때문에 포스트모텀 디버깅으로 활용하여 같은 에러가 재차 발생하는 것을 막을 수 있다 최근의 노트북이나 데스크탑의 경우 메모리가 2GB가 넘는 경우가 많아 커널덤프와 미니덤프만 사용하게 되어있으며 미니덤프는 128KB의 크기를 가지며 레지스터, 콜 스택, 프로세스 정보, 스레드 정보, 오류가 발생한 시점에 접근했던 메모리 일부만을 저장한다 실제 커널자체의 에러가 아니라 어플리케이션에..