개인 공부 (52) 썸네일형 리스트형 Malware Analysis-05 정적 분석 + 동적 분석 분석 파일 : Lab03-01.exe 00. 패킹 여부 확인하기 분석 도구 : PEiD, PEview 분석 결과 : 암호화가 되어있다 컴파일러에 PEncrypt 3.1 Final -> junkcode 표시가 되어 있고 PEview 툴을 이용하여 Import Address Table을 봤을 때 Import 함수들이 안보이는 것을 보아 이 프로그램은 암호화가 되어 있다 01. 정적 분석 분석 도구 : PEview, Dependency Walker, Strings 분석 결과 : 암호화가되어 있어 많은 정보를 얻을 수 없었다 01-1) PEview, Dependency Walker를 이용하여 Import 함수 확인하기 프로그램이 암호화되어 있어 KERNER32.dll의 ExitProce.. Reversing Lena4 레나4 문제 풀이(pixtopianbook107.exe, PixtopianBook.exe) 풀이에 사용된 프로그램 OS : Proxmox, Windows10 S/W : x32dbg 00. 문제 파악하기 00-1) 관리자 권한으로 pixtopianbook107.exe를 설치하기 관리자 권한으로 프로그램을 순서대로 설치한다 00-2) 프로그램 실행해서 문제 파악하기 프로그램을 실행시켰을 때 등록이 되지 않은 프로그램이라는 것을 알 수 있다 또한 그룹을 3개까지만 등록할 수 있다는 것을 알수 있다 프로그램을 등록 된것 처럼 프로그램에 출력시키고, 그룹을 추가하는데 제한을 풀어주는 것으로 문제를 풀 것이다 01. 디버거를 이용하여 문제 풀기 00-1) X32 메모리 맵에서 unregistered 문자열 수정하기.. Reversing Lena3 레나3 문제 풀이(RegisterMe, RegisterMe.Oops) 풀이에 사용된 프로그램 OS : Proxmox, Windows10 S/W : OllyDBG, PEview, HxD ※ 레나2 문제는 레나 1과 똑같은 문제라서 레나 3을 풀겠습니다 00. RegisterMe.exe 실행해서 문제 파하기 00-1) 처음 폴더에 2개의 실행파일을 확인 RegsiterMe.exe를 실행시켜본다 처음 Remve the nags to register가 뜨고 You need to register me now! 가 뜨고 Oops! I am not registered!! 가 뜨는 것을 확인 01. 디버거로 실행 파일 파악하기 처음 0x401011 ~ 0x40101F에서 nags가 나오는 것을 볼 수 있다 이것을 안나.. Reversing Lena1 레나1 문제 풀이(reverseMe) 풀이에 사용된 프로그램 OS : Proxmox, Windows10 S/W : OllyDBG 00. reverseMe.exe 실행해서 문제 파악하기 새로운 라이센스를 구입하라? 라이센스 키를 알아내거나 프로그램을 수정해서 라이센스를 업데이트 해야할것 같다 01. 디버거로 프로그램 파악하기(사용디버거 : OllyDBG1.1) CreateFileA, ReadFile을 봐서 파일을 생성하고 읽을 것으로 추측한다 02. 첫 번째 조건문 파악하기 0x401078 CMP EAX, -1이 의미하는 것은 Keyfile.dat 파일이 있는지 없는지 파악하는 조건문인다 첫 번째 분기로 존재 할경우 0x40109A로 가고 없을 경우 새로운 라이센스를 구입하라는 메시지박스를 화면에 출력한다.. Malware Analysis-04(정적 분석) 정적 분석 분석 파일 : Lab01-04.exe 00. 패킹 여부 확인하기 분석 도구 : PEiD 분석 결과 : 패킹이 되어 있지 않는다 EntryPoint : 0x15CF, EP Section : .text, 컴파일러 : Microsoft Visual C++ 6.0, ImageBase : 0x400000 01. 자동화 분석하기 분석 도구 : https://www.virustotal.com/gui/home/upload 분석 결과 (58/71) ALYac : Gen:Variant.Cerbu.64782 AhnLab-V3 : Undetected 02. PE구조 분석하기 분석 도구 : PEiD, PEview 분석 결과 Time Date Stamp : 2019/08/30 22:26:59 UTC Address of.. Malware Analysis-03(정적 분석) 정적 분석 분석 파일 : Lab01-03.exe 00. 패킹 여부 확인하기 분석 도구 : PEiD 분석 결과 FSG 1.0 으로 패킹되어있다 EntryPoint : 0x5000, 컴파일러 : FSG 1.0 -> dulek/xt, NumberOfSections: 3 01. (수동)언패킹 하기 언패킹 도구 : OllyDBG 1.1, OllyDBG Plugin(Olly Dump), ImportREC 언패킹 ※ FSG 수동 언패킹하는 방법들을 찾아봤지만 다른 파일들은 JMP문이 3개가 연속되거나 3개 이후에 나온다고 되어 있지만 현재 파일을 보면 JMP문이 3개가 연속된거는 보이지 않고, JMP문 3개 이후 위치를 봐도 OEP로 가는 파일이 아니라는 것을 봐서 실행을 해봤습니다 큰 흐름만 보면 JMP문 4개로 .. Malware Analysis-02(정적 분석) 정적 분석 분석 파일 : Lab01-02.exe 00. 패킹 여부 확인하기 분석 도구 : PEiD 분석 결과 UPX1으로 패킹되어 있다 EP Section : UPX1, 컴파일러 : Nothing found * 01. 언패킹 하기 언패킹 도구 : OllyDBG 1.1, OllyDBG Plugin(Olly Dump), ImportREC OllyDBG로 열었을 때 엔트리 포인트에 0x405410 -> PUSHAD로 이상한 점을 확인할 수 있다 0x405411로 이동(F8)하여 ESP주소를 확인하고 ESP 주소(0x12FFA4)로 DUMP로 확인한다 0x12FFA4의 값에 브레이크 포인트를 걸고 실행(F9)시킨다 프로그램을 실행 시키면 0x405593에 JMP문을 확인할 수 있는데 JMP문을 통해 이동한다 드.. Reverse Engineering-12(FSC_Level2) 연산 루틴 리버싱 - 시리얼 추출 방법 F-Secure Reverse Engineering (FSC) 2007년 F-Secure 해외 백신 회사에서 개최한 리버스 엔지니어링 대회 문제들이다 문제의 스타일은 일반적인 시리얼 연산 루틴이 주를 이루고 있다 ※ 공부 목적으로 문제를 풀기 때문에 최대한 분석하고 여러 방법으로 푸는 것을 목적으로 했습니다 FSC Level 2 00. 프로그램의 Import 함수 확인하기 00-1) PEiD로 프로그램 파악하기 PEiD로 FSC_Level2.exe가 UPX1로 패킹되어 있는 것을 확인할 수 있다 안에 있는 Import문을 확인 하기위해서는 언패킹을 하고 확인 해야한다. 언패킹 방법은 수동 언패킹과 프로그램을 이용한 언패킹이 있는데 지금은 프로그램을 이용한 언패킹을 .. 이전 1 2 3 4 ··· 7 다음 목록 더보기
