Jaden's Note Jaden's Note

시나리오 1) 사용자가 무심코 악성코드를 실행함으로써 감염 2) 감염된 악성코드는 다운로더 형태로 추가 파일(mal.exe)을 다운받고 사라짐 3) 추가 파일(mal.exe)는 실행 되어서 공인인증서를 외부로 빼돌리고 원본파일 삭제됨 동적분석이든 정적 분석이든 하고 싶지만.. PC 내부에 남아있는 악성코드가 없으므로 분석하기가 쉽지 않음 아래 3가지 방법으로 실행했던 파일의 이름을 파악할 수 있다. 1. UserAssist 레지스트리에서 최근 실행 프로그램을 확인할 수 있다. (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist) 2. Prefetch 빈번하게 사용되는 프로그램을 메모리로 빠르게 읽어오기 위해 캐시..

악성코드를 분석하기 위해서 보통 초기 분석 후 심도있게 들어가는 방식으로 분석을 하는데, Office 파일은 정상, 비정상 여부를 판별하여 악성파일을 구분하고 심도있는 분석은 분석가에게 맡기는 방식으로 업무를 하는것이 효과적이라고 한다. 악성코드 분석 단계(*분석 단계를 분류하는 방식은 다양하므로 이런것도 있다고 이해하고 넘어가자*) 1) Triage 2) 이미 감염된 경우 악성코드가 남기는 아티팩트 이해 및 조사 3) 악성코드 파일의 특성 분석 4) 저장된 네트워크 패킷을 통한 상관분석(통계학적인 분석) - TriAge : 초기 검사, 파일의 특성을 검사하여 악성파일인지, 아닌지 구분하는 과정이다. - 오피스 악성코드의 주요 분석 포인트는 다음과 같다. 1) 매크로가 포함되어 있는가? 2) 실행 가능한..

취약점 확인 방법 alert handshake failure이 응답으로 돌아오면 양호 Certificate chain이 돌아오면 취약 openssl s_client -connect www.xxx.com:443 -cipher EXPORT openssl s_client -connect www.xxxx.kr:443 -cipher EXPORT While your question, why are there so many servers offering export ciphersuites, is valid, your description of the problem is in error. FREAK is: ?a class of client-side bugs ?exploitable due to server-side co..

최신버전 http://msdn.microsoft.com/ko-kr/windows/hardware/hh852365 구버전 http://rxwen.blogspot.kr/2010/04/standalone-windbg-v6120002633.html Symbol 다운로드 http://msdn.microsoft.com/ko-KR/kor/windows/hardware/gg463028.aspx 심볼 파일 설정 File->Symbol File Path srv*c:\symbols*http://msdl.microsoft.com/download/symbols 혹은 다운로드 받은 symbol 폴더 경로 입력 Vmware 커널 디버깅 설정 1) 타겟 시스템 boot.ini 파일 설정 c:\notepad boot.ini multi..

view-source:http://도메인/파일 을 활용하여 일부 권한이 없는 소스를 들여다 볼 수 있다. 사용처 1. netforce wargame 1번문제에서 자바스크립트 취약점 파악하는 부분에서 활용해 보았다. 2. 오른쪽 마우스 금지된 블로그에서 소스보기로 다 긁어올 수 있다. 3. 또 다른 활용법은 차차 .. 확인해 보도록 하자. 아직 view-source가 정확히 어떤 놈인지 파악이 안되었다.

디버그 심볼 파일이란? - 실행 파일을 빌드할 때 생성되는 디버그용 정보 파일로 실행파일 안에 존재하는 함수나 변수들의 이름과 위치, 소스파일, 소스라인 정보를 가지고 있다 .pdb를 확장자로 가지고 있으며 소스라인 디버깅을 가능하게 한다 Visual Studio를 사용하는 경우 기본적으로 Debug 빌더 설정이 되어있기 때문에 Symbol 파일이 자동으로 생성되고 디버깅이 가능하다 그리고 일반 회사에서 고객을 위한 프로젝트를 하는 경우 Release를 위해 Release빌더를 하게 되는데 이 경우엔 자동으로 생성되지 않으며 Symbol을 유지하지도 않는다 하지만, 마이크로소프트에서는 운영체제에서 발생하는 문제를 좀 더 쉽게 풀어나가기 위해 Symbol을 공개하고 있다 * 제품이 고객들에게 릴리즈 되기시..