OutDoorFrog의 리버싱 이야기

멘탈에 금가는 중인 개구리(OutDoorFrog)입니다. 프로젝트를 힘차게 진행해야할 시기가 다가옵니다. 개발 부분에서는 크로스 플랫폼 핵심 모듈 설계의 기술이란 도서를 보며 깨지는 중이고 보안 부분에서는 디컴파일을 하고도 기능을 못 유추할 것 같은 쉘코드를 보며 깨지는 중입니다. 오늘은 연구에 조금 진전이 있어서 이야기를 해드릴려고합니다. 썰을 풀어보겠습니다!! 0. DLLMain을 찾았습니다만.. 대부분의 프로그램은 Main 함수로부터 시작합니다. 악성코드 분석도 Main 함수를 찾는 것을 첫 번째 목표로 합니다. 나뭇잎 책의 말을 빌리자면 베이스 캠프를 설치한다고 보면 되겠네요. 윈도우 시스템 프로그래밍에 1년 반이라는 시간을 투자했던만큼WinAPI 관련 소스 코드를 해석할 때 좀 더 정확하고 빠르..

안녕하세요! 블로그의 주인장 OutDoor Frog입니다! 오늘은 기증 받은 악성코드를 분석해봅시다! 1. Detect It Easy & Hasy My Files MFC를 사용했고, x86 DLL 파일이군요. Windows 7 32bit 사무용 컴퓨터에 딱 맞는 악성코드인 것 같습니다! MFC 같은 프레임워크는 입문 난이도가 높아서 진도를 덜 나갔었는데 복습까지 되겠군요!!! (개꿀~) MD5 : 97363d50a279492fda14cbab53429e75SHA1 : f1a181d29b38dfe60d8ea487e8ed0ef30f064763 해시값을 구하는 이유는 악성코드의 해시값을 분석사이트에서 검색해볼 수도 있고 파일의 변조 여부를 판단할 때 활용하기 때문입니다. 2. PE viewer IAT를 보고 악..

2018-09-05 악성 코드를 기부 받았는데 드디어 분석하게 되네요! 아마 악성 코드 분석 커리큘럼은 이렇게 될 것 같습니다! 악성 코드 보고서 탐독 정적 분석행위 분석동적 분석악성코드 구현(좋은 루틴은.. 헤더 파일로 박제합시다!!)여러분이 처음 보는 악성코드 보고서 분석이라는 단계에 대해서 설명하겠습니다. 이번에 분석하는 악성 코드까지 합하면 3 번째 분석입니다.(이번 악성코드 난이도는 최상 추정) 바이러스토탈에서 악성코드의 해쉬값을 검색해봅시다. Windows 버전 샘플 해쉬 값 MD5 : 97363d50a279492fda14cbab53429e75SHA-256 : 462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8 Linux 버전 샘..