Jaden's Note Jaden's Note

문제 : 손상된 압축파일을 복구해서 압축파일의 MD5를 찾아라 1) 손상된 파일 2) 복구 완료된 파일 3) 압축파일 내 포함된 python 스크립트 (사고분석용 스크립트로 확인됨) 문제풀이 1. recme.zip 파일 내에 파일 시그니처 확인 불가 2. zip 파일 포맷의 특성을 파악해보니 Central Directory의 Header와 Local Header의 숫자가 같아야 하는데 Local Header가 누락되어 일어나는 현상으로 추측 3. Central Header의 시작위치와 Central Header Offset 값의 차이가 0x28 만큼 차이남을 확인하였으며 이는 Local Header 중 파일명을 포함한 사이즈와 동일함을 확인함 4. Central Header를 참고하여 Local Head..

PE 재배치 - PE 파일(EXE/DLL/SYS)이 프로세스 가상 메모리에 로딩될 때 PE 헤더의 ImageBase 주소에 로딩됩니다. DLL(SYS) 파일의 경우 해당 ImageBase 위치에 다른 DLL(SYS)파일이 로딩되어 있다면 비어있는 주소공간에 로딩됩니다. * EXE : 00400000, DLL : 10000000, SYS : 10000 * Windows Vista 이후부터는 ASLR 기술로 인하여 EXE파일도 실행될 때마다 랜덤한 주소에 로딩됩니다. - PE 재배치는 하드코딩된 주소를 프로세스에 로딩되어 랜덤하게 생성된 ImageBase주소에 맞추어 변경해주는 작업입니다. - 간혹 악성코드 중에서 정상 파일의 코드를 패치한 후 해당 영역을 가리키는 Relocation Table을 수정하는 ..

WDS란 Wireless Distribution System의 약자로 무선 분산 시스템이라고 한다. 우리가 사용하는 유무선공유기 또는 AP들 간에 무선네트워크를 구성하여 단일 사용시보다 넓은 지역을 커버하고 음영지역을 해소할 수 있는 기능이다. 인터넷이 연결되어 있는 AP와 인터넷이 연결되어 있지 않은 AP가 WDS로 연결되면 인터넷에 연결되어 있는 AP로부터 무선 신호를 받아 인터넷이 연결되지 않은 AP가 다시 신호를 뿌려주는 역할을 한다. 무선 통신 범위를 확장하거나 여러개의 AP 또는 유무선 공유기를 무선으로 연결함으로써 하나의 네트워크를 구성하여 관리하기 위해 사용한다. WDS 구성도를 보면 WDS Master가 인터넷(ADSL 혹은 WAN)에 연결되어 있고 WDS Slave는 무선으로 WDS M..

후회하기 싫으면 그렇게 살지말고, 그렇게 살거면 후회하지 마라. 인생은 곱셈이다. 어떤 찬스가 와도 내가 제로면 아무런 의미가 없다. 내 안에 빛이 있으면, 스스로 빛나는 법이다. 네가 모든사람들을 사랑할 수 없듯이 모든사람들이 너를 사랑할 수도 없다. 꿈에 눈이 멀어라. 시시한 현실따위 보이지 않게. 상황은 사람을 구속하지 않는다. 단지 그 사람의 됨됨이를 드러내줄 뿐이다. 누가 너를 모욕하더라도, 앙갚음하려 들지 말라. 강가에 앉아 있노라면 머지 않아, 그의 시체가 떠내려가는 것을 보게 되리다. 네가 도전하지 않는 이유가 네가 원하지 않기 때문이라면 나는 그것을 존중하겠다. 그러나 네가 도전하지 않는 이유가 그것이 너무 어렵기 때문이거나 네가 질 것 같아서라면 나는 더 이상 너를 알고싶지조차 않다. ..

시나리오 1) 사용자가 무심코 악성코드를 실행함으로써 감염 2) 감염된 악성코드는 다운로더 형태로 추가 파일(mal.exe)을 다운받고 사라짐 3) 추가 파일(mal.exe)는 실행 되어서 공인인증서를 외부로 빼돌리고 원본파일 삭제됨 동적분석이든 정적 분석이든 하고 싶지만.. PC 내부에 남아있는 악성코드가 없으므로 분석하기가 쉽지 않음 아래 3가지 방법으로 실행했던 파일의 이름을 파악할 수 있다. 1. UserAssist 레지스트리에서 최근 실행 프로그램을 확인할 수 있다. (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist) 2. Prefetch 빈번하게 사용되는 프로그램을 메모리로 빠르게 읽어오기 위해 캐시..

악성코드를 분석하기 위해서 보통 초기 분석 후 심도있게 들어가는 방식으로 분석을 하는데, Office 파일은 정상, 비정상 여부를 판별하여 악성파일을 구분하고 심도있는 분석은 분석가에게 맡기는 방식으로 업무를 하는것이 효과적이라고 한다. 악성코드 분석 단계(*분석 단계를 분류하는 방식은 다양하므로 이런것도 있다고 이해하고 넘어가자*) 1) Triage 2) 이미 감염된 경우 악성코드가 남기는 아티팩트 이해 및 조사 3) 악성코드 파일의 특성 분석 4) 저장된 네트워크 패킷을 통한 상관분석(통계학적인 분석) - TriAge : 초기 검사, 파일의 특성을 검사하여 악성파일인지, 아닌지 구분하는 과정이다. - 오피스 악성코드의 주요 분석 포인트는 다음과 같다. 1) 매크로가 포함되어 있는가? 2) 실행 가능한..

취약점 확인 방법 alert handshake failure이 응답으로 돌아오면 양호 Certificate chain이 돌아오면 취약 openssl s_client -connect www.xxx.com:443 -cipher EXPORT openssl s_client -connect www.xxxx.kr:443 -cipher EXPORT While your question, why are there so many servers offering export ciphersuites, is valid, your description of the problem is in error. FREAK is: ?a class of client-side bugs ?exploitable due to server-side co..