시스템보안에서 가장 중요한 부분 중에 하나를 꼽자면 계정과 그룹이라고 할 수 있겠습니다. 운영체제에 대한 계정의 관리는 다른 모든 어플리케이션에 대한 권한을 지키는 것과 같다고 할 수 있습니다. 따라서 운영체제의 계정을 보호 하는 것은 굉장히 중요한 부분이라고 할 수 있겠습니다. 윈도우 관리자 계정 및 사용자 계정에 대해서 확인을 먼저 해보도록 하겠습니다. 명령어를 통해 확인해보겠습니다. 첫번째로 administrators의 관리자 계정 그룹을 확인해보겠습니다. net localgroup administrators 두번째로는 일반 사용자를 확인하기 위해 명령어를 사용하겠습니다. net users 출력된 화면입니다. 캡쳐화면을 보시면 관리자 그룹에 administrator라는 기본 계정과 설치시 만들었던 ..
이번에는 PE Header 구조 두번째 글입니다. 혹시 바로 들어오신 분들은 아래 첫번째 글 부터 읽어보시는 것을 추천드리겠습니다. 2018/05/08 - [Analysis/Reversing] - PE Header 구조 정리글 첫번째 자, 그럼 바로 이어서 IMAGE_OPTIONAL_HEADER 부터 설명해 보겠습니다. 첫번째 글 2.3에 이어서 연속되어 설명하므로 2.4로 넘버링하겠습니다. 2.4 IMAGE_OPTIONAL_HEADER PE 구조체 중 가장 크기가 큰 구조체이며 많은 정보를 학습해야 하는 구조체입니다. 파일 실행에 필수적인 값을 가지는 것들이 많아 이 값들이 잘못 되어있다면 정상 실행 되지 않습니다. 1. Magic / Address of Entry Point 가장 처음 있는 Magic..
PE Header 1. PE 란? Portable Executable라는 의미를 가지는 PE는 애초에는 다른 운영체제에 이식성을 좋게 하려는 의도였으나 실제로는 운영체제 윈도우에서 사용되는 실행 파일, DLL, object 코드, FON 폰트 파일 등을 위한 파일 형식입니다. 윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보를 캡슐화한 데이터 구조체라고 할 수 있습니다. PE 파일은 32bit 형태의 실행 파일을 의미하며 PE+ 또는 PE32+ 라고 부르는 64bit 형태의 실행 파일이 있습니다. 우리가 PE를 알아야 하는 가장 큰 이유로 윈도우의 PE 헤더에는 파일을 구성하는 다양한 정보가 있고 이를 통해 파일의 구조를 알 수 있다는 점이며 따라서 학습을 통해 구조에 대하여 이해하고 활용해보도록..
이제 실제 Lena 문제풀이를 통하여 분석 실습을 진행하기 전에 파일을 실행해보겠습니다. 그림과 같은 메시지박스가 출력 됩니다. 이제 Ollydbg를 실행시켜 파일을 분석하겠습니다. 캡쳐와 같이 따라오다 보면 CreateFileA라는 함수가 보입니다. 다음 함수는 파일을 열거나 만들 때 사용 하는 함수인데, 파라미터에서 보면 OPEN_EXISTING 모드로 진행되는 것을 확인 할 수 있습니다. 따라서 keyfile.dat의 존재 할 때 열어보는 것을 알 수 있게 됩니다. 그렇다면 keyfile.dat 파일을 생성해보겠습니다. 파일을 생성하였습니다. 파일을 생성 한 후 CMP구문까지 진행하면 Register정보 창에 EAX를 보면 달라진 값을 확인 할 수 있습니다. CMP EAX, -1 구문을 설명하면 C..
ollydbg 사용하면서 정리해놓았던 단축키 입니다. 사용할때 자주 사용하고 분석에 필요한 단축키 정리해 놓았습니다. 명령어 단축키 설명 Restart Ctrl + F2 처음부터 다시 디버깅 시작 Step Into F7 하나의 OP code 실행 (CALL 명령을 만나면, 그 함수 코드 내부로 들어간다) Step Over F8 하나의 OP code 실행 (CALL 명령을 만나면, 그 함수 코드 내부로 들어가지 않고 함수 자체를 실행) Execute till Return Ctrl + F9 함수 코드 내에서 RETN 명령어까지 실행 (함수 탈출 목적) Go to Ctrl + G 원하는 주소를 찾아간다 Run F9 실행 (BP가 걸려있으면 그곳에서 실행이 정지) Execute till cursor F4 Cur..
이전의 네이버 블로그에서 썻던 글입니다. 캡쳐 화면이 어디있는지 알 수가 없네요 그래서 사진을 전부 가져왔습니다. 혹시나 사진이 깨진다면 이쪽 링크를 타고 가셔서 자세히 확인 가능하십니다. https://blog.naver.com/o0iwishu0o/220980159636 악성코드 분석, 리버싱에 관하여 공부를 하게 되면서 처음 보게 되는 실행파일이자 각종 언어에서 가장 처음 소스코드를 작업해보는 Helloworld.exe로 디버깅을 실습해볼텐데요 우선 기본적인 무료툴인 ollydbg에 대하여 설명드릴께요 ollydbg기본 화면 위 사진과 같이 왼쪽 상단이 Code Window창인데요 이곳에서 디셈블리 코드를 표시하여 각종 comment, label을 보여주며 코드를 분석하여 loop,jump 위치 등의..
1 정적 분석이란? 악성코드 분석 시 가장 먼저 진행되는 부분으로 악성코드 연구의 시작 단계라고 할 수 있다. 프로그램의 기능을 파악하고 코드나 프로그램의 구조를 분석하는 단계로 악성코드를 실제로 실행해보지 않고 분석하는 방법이다. 대부분의 경우 원시 코드의 형태를 가지고 분석을 수행하지만 목적 코드의 형태를 가지고 분석하는 경우도 있다. 예를 들어 악성 여부를 판단하는 안티 바이러스 도구를 사용하거나 판별 해시를 사용하는 방법, 파일의 문자열, 함수, 헤더에서 개략적인 분석을 진행하는 것을 의미한다. 또한 기초 정적 분석과 고급 정적 분석으로 나뉘어 볼 수 있는데 이에 따라 파일이 가진 특성을 파악하여 ‘어떤 식으로 동작할 것이다’라는 유추를 하고 패킹 여부를 확인하는 것이라면, IDA라는 툴을 사용,..
이번에는 Linux 에서 ping option 사용법 2번째 글을 쓰게 되었습니다. 현재 계획은 30개 가량의 옵션을 3번에 걸쳐 작성하려고 합니다. 아무래도 한번에 전부 다 쓰는 것은 무리가 되더군요 자 그럼 바로 1번째 다음 옵션 부터 설명하도록 하겠습니다. -l (preload) 옵션 (소문자 L) preload에 지정하는 값 만큼 응답을 기다리지 않고 바로 보내는 옵션입니다. 일단 캡처 먼저 보시죠 캡처는 작동이 시작하자마자 바로 종료한 것입니다. 맨 마지막에 pipe 10이 보이시나요? 10개를 한꺼번에 보냈다고 생각하시면 될 것 같습니다. 예를 들자면 preload 값에 3을 지정하게 되면 3개의 요청을 바로 보내고 10을 지정하게 되면 10개를 응답을 기다리지 않고 10개를 바로 보냅니다. ..
ipg/ewma ping에 대한 글을 올리다가 A옵션과 f옵션을 사용하여 적응성 핑, 플러딩 모드를 작동시키면 마지막에 rtt외에 추가적으로 이 값이 출력 되는 것을 확인했습니다. 그래서 이 값이 무엇인지 찾아보았는데요. ipg = Inter Packet Gap 패킷간의 간격입니다. 패킷 사이의 차이값을 보여주는 것입니다. 정확한 설명을 찾다보니 패킷을 처리하는데 일정 수준의 제약(?), 최소시간이 필요한데 이 값이 그러한 최소시간을 나타낸다고 생각하시면 될 것 같네요. 하나의 패킷을 처리하고 다음 패킷을 가는데 걸리는 시간, 한패킷을 처리하는 시간 정도로 이해할 수 있을 것 같습니다. ewma = Exponential Weighted Moving Average 데이터의 기술적인 분석에서 사용되는 것이라..
Ping 옵션에 대하여 Linux에서의 사용법을 알려드리려고 하는데요 사실 옵션이 윈도우에 비해서... 많은 관계로 글을 나눠서 작성하려고합니다. Windows나 ping 개념을 원하시면 아래 글로 이동하시면 될 것 같습니다. Ping의 기본 개념 2018/04/23 - [Analysis/Network] - Ping & Traceroute Windows에서의 ping 사용법 2018/04/23 - [Analysis/Network] - Ping의 다양한 option 사용법-1 (Windows) IPG/EWMA란? 2018/04/24 - [Analysis/Network] - ipg/ewma란? 차이 Linux에서는 Windows에서보다 옵션이 더 많으며 기본적으로 Windows에서는 default가 4개의 ..
- Total
- Today
- Yesterday
- aircrack-ng
- Network Ping
- 정보보안기사
- ping
- PE header 구조
- pe header
- linux ping
- VMware
- 정보처리기사실기
- pingoption
- AirCrack
- 리버싱
- 조커 해석
- PE 구조체
- 악성코드
- ping option
- C언어
- 올리디비지
- 영화 조커
- ping 옵션
- PE 구조
- 영화 해석
- PE
- reversing
- printf
- 기초
- 정보처리기사
- peview
- 핑
- OllyDbg
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |