목록분류 전체보기 (59)
OutDoorFrog의 리버싱 이야기
안녕하세요! 블로그의 주인장 OutDoor Frog입니다! 오늘은 기증 받은 악성코드를 분석해봅시다! 1. Detect It Easy & Hasy My Files MFC를 사용했고, x86 DLL 파일이군요. Windows 7 32bit 사무용 컴퓨터에 딱 맞는 악성코드인 것 같습니다! MFC 같은 프레임워크는 입문 난이도가 높아서 진도를 덜 나갔었는데 복습까지 되겠군요!!! (개꿀~) MD5 : 97363d50a279492fda14cbab53429e75SHA1 : f1a181d29b38dfe60d8ea487e8ed0ef30f064763 해시값을 구하는 이유는 악성코드의 해시값을 분석사이트에서 검색해볼 수도 있고 파일의 변조 여부를 판단할 때 활용하기 때문입니다. 2. PE viewer IAT를 보고 악..
안녕하세요! 블로그의 주인장 OutDoorFrog 입니다! 어제 리눅스 패키지 오류에 취했더니 좀 어질어질 합니다. "TheEnd" 문제를 풀 때 도움을 준 edb에 대해서 알아봅시다! GUI 환경에 익숙해지면 CUI 환경에 적응하기까지 시간이 걸립니다.익숙하지 못한 환경은 발휘할 수 있는 실력에 안 좋은 영향을 미칩니다. 레지스터의 값, 어셈블리어 보기, 문자열 표시, 덤프 표시, 기타 등등이런 강력한 기능들을 전부 명령어로써 사용한다면익숙치 않은 사람들은 구글링하느라 시간을 소비할 것입니다. 이러한 고민을 하는 사람들을 위해 건넬 조언이 있다면 Windows 에서는 Ollydbg가 있다면Linux에서는 Edb(Evan's Debugger)가 있습니다! codef00-Project-edb-Link (공..
안녕하세요! 블로그의 주인장 OutDoorFrog입니다! 리눅스 디버깅 환경 준비하느라 혼났습니다. 리눅스에서 동작하는 악성코드를 분석하기 전에 머리 좀 풀어볼까하고 문제를 풀었습니다. 각설하고 시작하겠습니다!! 1. Detect It Easy로 정보 수집 라이브러리는 GLIBC를 쓰고 컴파일러는..(뭐지) 그래도 환경에 맞춰서 우분투에서 디버깅하는 것이 좋겠습니다. 2. IDA & Edb Debugger 이번에 저를 도와줄 새 친구는 바로! evan's Debugger 입니다. 리눅스계의 올리디버거입니다.(역시 GUI가 편-안) 친구의 도움을 받아서 gdb를 써봤는데 적응이 안되더군요. 3. 구조를 파악하자. 이 문제는 특이하게 볼 부분이 두개가 있습니다. 붉은 원으로 표시한 두 부분이 있는데요. 높이..
안녕하세요! 블로그의 주인장 "OutDoorFrog"입니다! 오늘은 앞으로의 CTF 참가를 위해서 문제 풀이 환경을 구성해봅시다!공부할 방향을 결정하고 과거를 정리해봅시다! 1. 준비해야하는 환경 Windows 10 64bit (Host Computer) Ubuntu Linux 64bit (Guest Computer) 혹시 모르니 Windows 7 32bit도 준비해줍시다. 2. 리버싱에 사용할 디버거 OllyDbg, ImmunityDbg, X64Dbg, x32Dbg, IDA Progdb, IDA Pro(Remote Server) Windows에서는 환경이 익숙해서 사용할 수 있는 Dbg, 도구가 많은데Linux에서는 숙련도가 조금 떨어지네요. (노오력합시다) 3. IDA IDA 같은 경우 리버싱을 하는..
안녕하세요 블로그 주인장 OutDoorFrog 입니다. 해킹 캠프가 열린 후 벌써 6일이 지났습니다.1일만 지나면 해킹 캠프 문제 서버가 닫히는데요.제가 풀지 못한 문제는 인증해야 속이 시원할 것 같습니다.(잠도 오고) 문제 풀이를 시작하겠습니다. 1. Detect It Easy로 디버깅 환경 결정 Windows7 32bit 환경에서 분석해보겠습니다.EP는 Default, 섹션의 수는 9개... 특이합니다.(기억해둡시다.) 2. PEViewer 사용 섹션의 갯수가 특이해서 PEViewer로 까봤습니다. 스탭님께서 Write Up을 발표하실 때 귀담아 들었습니다. TLS 콜백 및 더미 코드 같은 안티 디버깅 기법이 숨어있다는 것을 말이죠. 안티 디버깅을 패커 이외에는 경험해본 적이 없습니다.(청정수) 구글..