본문 바로가기
728x90
반응형

리버싱/기타19

Windows Kernel Explorer 커널 프로세스를 쉽게 확인할 수 있다 ㅋㅋ "Kernel > Callback & Notification"을 누르면 아래처럼 리스트가 쫙 나옴 여기서 제거하고 싶은거 제거하면 됨. 유용 :) https://github.com/AxtMueller/Windows-Kernel-Explorer GitHub - AxtMueller/Windows-Kernel-Explorer: A free but powerful Windows kernel research tool. A free but powerful Windows kernel research tool. Contribute to AxtMueller/Windows-Kernel-Explorer development by creating an account on GitHub.. 2023. 1. 31.
C# 패킹 C# 리버싱하다 "ConfusedByAttribute"을 발견했는데, 뭔가 이상하다 싶어 검색해보니 ConfuserEx라는 C# 패커였다. 검색해보면 언패커도 찾을 수 있고, 아래 블로그 참고하면 매뉴얼 언패킹도 가능. 참고. if-else.tistory.com/9 [Packer] ConfuserEx 분석 - 2 개요 지난 포스팅에 이어, 오늘 포스팅에서는 .Net 디컴파일러 프로그램인 dnSpy, dotPeek 등을 이용하여 ConfuserEx가 사용하는 난독화 및 안티 디버깅 기법들을 하나하나 알아보겠습니다. PS. 궁금한 if-else.tistory.com 2020. 12. 3.
Microsoft Office Macro에 패스워드 걸려있을 때 CTF 하던 중에 워드 매크로를 이용한 악성코드 문제가 있었는데, 매크로에 패스워드가 걸려 있었다. 매크로 분석을 위해 "워드 옵션 > 리본 사용자 지정 > 개발 도구"를 추가하면 아래와 같이 워드에 삽입된 매크로를 볼 수 있다. 삽입된 매크로를 클릭하면 매크로에 암호가 걸려있는 것을 확인할 수 있는데, 이 암호 인증을 우회하는 방법은 의외로 간단하다. 오피스 파일을 헥스 에디터로 열어서 아래와 같이 수정만 해주면 됨. 근데 간혹 위과 같은 메시지가 뜨면서 정상적으로 인증 우회가 안 된다면, 오피스 버전을 더 낮춰서 시도해야 한다. p.s. 매크로 실행할라면 위와 같은 설정 해줘야 함 . 2020. 11. 14.
API Hooking with MS Detours 요즘은 Frida를 사용하기 때문에 Detours를 잘 사용하지 않기는 하지만 일단 링크 저장. https://www.codeproject.com/Articles/30140/API-Hooking-with-MS-Detours API Hooking with MS Detours In this article, I will talk about the theories and implementations of API hooking. API hooking is a powerful technique that allows someone to hijack a function and redirect it to a custom one. Anything can be done in these functions before pass.. 2019. 7. 1.
Anti VM 보호되어 있는 글 입니다. 2019. 1. 2.
Anti Reversing 정리 https://github.com/LordNoteworthy/al-khaser 최고인 듯. 2019. 1. 2.
AutoHotKey / AHK 분석 정리 reversing.kr이나 다른 대회에서도 가끔 AutoHotKey(이하 AHK) 매크로로 만든 .exe 파일 분석문제가 출제된다. 이번 2018 여성해방에도 나왔는데 자꾸 까먹고, 자꾸 헷갈려서 정리. 우선 AHK로 만든 .exe의 대부분의 아이콘은 위와 같이 생겼다. 최근 대회를 진행하다 이걸 보고 어디서 많이 본 아이콘이다 싶었는데, 곰곰히 생각해보니 reversing.kr에 있던 문제의 아이콘이었다. AHK 같은 경우 python으로 작성한 .exe 파일처럼 실행코드가 메모리에 남는다.python으로 작성한 .exe 파일과 같이 스크립트를 읽어서 실행하기 때문이다. AHK로 만든 .exe 파일을 분석하는 방법은 크게 두 가지이다. 첫 째, 디컴파일 스크립트를 .exe로 만든 것이기에 당연히 디컴파.. 2018. 10. 13.
how to extract python code from pyinstaller 보호되어 있는 글 입니다. 2017. 4. 14.
IL 코드 보기 C:\Program Files (x86)\Microsoft SDKs\Windows\v10.0A\bin\NETFX 4.6.1 Tools 여기에 ildasm.exe 라는 프로그램이 있다. 이런 식으로 나오는데 길이가 나와서 개꿀. Reversing.kr의 CSharp 문제 풀 때 유용하다. 2017. 1. 15.
arm, powerpc, mips Cross Compile, Execute and Remote Debugging 1. gcc 설치 1 2 3 sudo apt-get install gcc-arm-linux-gnueabi sudo apt-get install gcc-powerpc-linux-gnu sudo apt-get install gcc-mips-linux-gnu cs 1 2 3 4 5 6 7 8 9 10 sudo apt-get install -y gcc-multilib-arm-linux-gnueabi sudo apt-get install -y gcc-multilib-arm-linux-gnueabihf sudo apt-get install -y gcc-multilib-mips-linux-gnu sudo apt-get install -y gcc-multilib-mips64-linux-gnuabi64 sudo apt-.. 2016. 10. 23.
Code Injection from BlackEnergy BlackEnergy라는 악성코드를 분석하다가 코드 인젝션을 재미있게 하는 코드를 발견해서 정리해서 올려본다. 지금까지 분석해본 악성코드는 CreateProcess API 함수를 이용하여 suspend로 프로세스를 실행한 뒤에 보통 이미지 베이스에 MZ부터 쭉 인젝션 하고 ResumeThread API를 호출했었는데, 이 악성코드는 같은 방법으로 프로세스를 실행하지만 특정 주소에 코드를 인젝션 한 뒤에 쓰레드 컨텍스트를 수정하고 ResumeThread API 함수를 호출한다. 1. CreateProcess API 호출 6번째 인자(Creation_Flags)가 4(Create_Suspended)임을 알 수 있다. mssrv32.exe(악성코드)의 자식 프로세스(svchost.exe)가 생김. 2. Wri.. 2016. 10. 12.
프로세스 시작과 동시에 디버거 붙이기 출처 : https://msdn.microsoft.com/ko-kr/library/a329t4ed(v=vs.90).aspx 디버깅 하는 프로세스가 CreateProcess 등의 함수를 호출하여 자식 프로세스를 생성하는 루틴에서 굉장히 유용한 방법이다. ------------------------------------------------------------ 때로는 다른 프로세스에서 시작한 응용 프로그램의 시작 코드를 디버깅해야 할 수도 있습니다. 서비스 및 사용자 지정 설치 작업을 예로 들 수 있습니다. 이러한 시나리오에서는 응용 프로그램을 시작할 때 디버거를 시작하고 자동으로 연결할 수 있습니다.디버거가 자동으로 실행되도록 응용 프로그램을 설정하려면레지스트리 편집기(regedit)를 시작합니다.레지스.. 2016. 9. 25.
728x90
반응형