본문 바로가기

분류 전체보기

(550)
[2023.04.08] 씽씽이 활동보고 활용강의: 리버싱 이 정도는 알아야지 - 섹션 2 1. 디버거 화면 구성 ▶ PE 파일 실행 과정 ① PE 로더 : 실행파일의 데이터가 메모리에 적재된다. ② CPU : 적재된 코드의 연산이 이루어진다. CPU 레지스터 : 연산 결과 값을 기억하는 임시 저장소 ▶ CPU 연산 과정 ① 0040 2000 주소에 있는 00 00 00 00을 EAX 레지스터에 저장한다. 섹션 주소 어셈블리 코드 레지스터 CODE 0040 1000 MOV EAX, DWORD PTR DS:[0040 2000] EAX : FFFF FFFF 0040 1005 CMP EAX, 0 EBX : 0000 0001 0040 1008 JE SHORT 0040 1000 ... 0040 100A DATA 0040 2000 00 00 00 00 Z..
Nebula08~11 보호되어 있는 글입니다.
[2023.04.08] 디지털포렌식 section2 및 메모리 포렌식 문제 풀이 일시: 2023.04.08 부원: 남현정, 이수미, 이유빈, 이은빈 cridex.vmem 파일 다운 후 volatility -f imageinfo pslist: 프로세스들의 리스트를 출력 volatility -f —profile=win~ pslist volatility -f —profile=win~ pslist > pslist.log (파일안에 pslist 로 얻은 리스트 저장해놓음) psscan pstree psxview notepad++로 열어주기 다운받은 메모리 안에서 실행 되고 있던, 되었던 프로세스 목록.. pslist : 시간 순대로 psscan : offset 순대로 (어떤 위치에 존재하는지의 순서) / 숨김 프로세스를 볼 수 있다. pstree : PID, PPID 기반으로 구조화해서 보여..
[2023.04.08] CSRF 보호되어 있는 글입니다.
[2023.04.08] '생활코딩 - Linux' 강의 수강 및 달고나 문서 ~p.27 '생활 코딩 - Linux' 강의를 섹션 7부터 섹션 9까지 수강하고 달고나 문서 목차 4번 학습하였다.4 권한 권한의 지정 의미: 어떤 사용자(User)가 파일과 디렉토리에 대해 어떠한 일을 할 수 있게/없게 하는 것 1. 파일의 종류 (-: 일반 파일, d: 디렉토리) 2. 파일을 읽고 쓰고 실행할 수 있는 권한 표시 r : read / w : write / x : excute rw-: owner의 권한 (읽기, 쓰기 권한만 가짐) rw-: group의 권한 (읽기, 쓰기 권한만 가짐) r--: other의 권한 (읽기 권한만 가짐) 3. 하드링크의 개수 4. 파일 소유자 5. 파일 소유자의 그룹 6. 파일의 크기 7,8. 파일의 마지막 수정 날짜 9. 파일 이름 권한을 변경하는 방법 chmod o+..
[2023.04.08] 악성코드 고급 정적 분석: 아이다 활용 IDA - 헥스레이(Hex-Rays)사에서 배포 - PE, COFF, ELF 지원 - x86 / x64 지원 - 함수 발견, 스택 분석, 지역 변수 확인 등 수많은 기능 제공 - 분석 진행 상황 저장 기능 (주석 작성, 라벨링, 함수 이름 붙이기) - 막강한 플러그인 지원 분석에 유용한 윈도우 - 함수 윈도우 : 실행 파일 내의 모든 함수를 목록화 - 이름 윈도우 : 함수, 명명된 코드, 명명된 데이터 문자열을 포함해 모든 관련 주소를 목록화 - 문자열 윈도우 : 5자 이상의 아스키 문자열 출력 - 임포트 윈도우 : 임포트 되는 모든 함수 목록 - 익스포트 윈도우 : 익스포트 되는 모든 함수 목록 - 구조체 윈도우 : 데이터 구조 레이아웃 목록 아이다 제목 링크 - Sub: 함수 시작 링크 - Loc: ..
[2023.04.01.] 악성코드 정적분석 보호되어 있는 글입니다.
[2023.04.01] 씽씽이 활동보고 활용 강의: 리버싱 이 정도는 알아야지 - 섹션 1 ※ PE 파일 분석 공부 방향 ※ 1. PE 헤더는 어떻게 구성되어 있고, 그 값들이 의미하는 바가 무엇인지 알아야 한다. 2. .text 섹션에 기록되는 명령코드를 읽을 줄 알아야 한다. 3. .data 섹션에 기록되는 데이터가 무슨 값인지 알아야 한다. 1. PE File Format 이해하기 ● PE 파일 포맷 : 마이크로소프트에서 실행파일에 대한 원칙을 정해놓은 것 ● PE 파일 생성 과정 : 일반적으로 Visual Studio와 같은 개발 도구 사용 -> 코드 작성 -> 컴파일 -> 실행파일 완성 ● 컴파일 과정 1. 코드(.text 섹션에 기록)와 데이터(.data 섹션에 기록) 분리한다. 2. 코드를 기계어로 변환한다. 3. 문자열 데이터를..