전체 글171 [ROOTKIT #1] RootKit이란? 룻킷이란 컴에서 젤로 중요한 루트(Root) 디렉토리에 접근하여 여러가지 작업(?)을가능하게끔 하는 작지만 유용한 프로그램의 집합체(Kit)입니다.가장 중요한 특징은 "검색되지 않는 것" 즉 코드나 자료를 숨기는 것입니다.파일이나 폴더를 숨기기도 하고 원격조정이나 패킷 훔쳐보기 등등... 크게 두가지 기능이 있는데 하나는 원격조정입니다.파일을 제어하거나, 재부팅을 초래하거나 (심지어 BSOD 까정 ㅜ) ...또하나는 훔쳐보기입니다.패킷엿보기, 키보드로거, 이멜엿보기 등등 ;) 룻킷의 기본원리는 "수정" 입니다.수정할 수 있는 곳을 몇군데 보면; 1. 바이너리 코드 우리가 치엔으로 바이너리 코드를 수정해서 원래 소프트웨어가 해야할실행을 수정하듯이 이런 작업을 패치한다고 합니다.심지어 마소도 핫패치라고 해서.. 2014. 5. 28. [RootKit] Hook?? User-Mode HookingIAT(Import Address Table) Hooking: IAT 에 적혀있는 API 의 주소를 자신의 함수주소로 바꾸고 자신의 함수 끝에 다시 원래 API 주소로 돌려주는 방식. 가장 일반적으로 바이러스에서 사용하는 기법. Inline Function Hooking (Detour Hooking): 사용할 API 의 첫 5바이트를 자신의 함수주소로 Jmp 하는 코드로 바꾸고 자신의 코드에서 다시 원래 API 의 바뀐 코드를 수정해주고 API 시작위치로 돌려주는 방식. IAT 후킹보다 지능적이여서 찾아내기가 쉽지 않다. 요새 많이 등장한다. Kernel-Mode Hooking (루트킷)SSDT(System Service Descriptor Table Modification.. 2014. 5. 25. HISCHALL 2013 문제 풀이 Write up 이미지 부분이 깨지니 본문 아래 링크에서 PDF로 봐주시면 감사하겠습니다.Created by BCL easyConverter SDK 3 (HTML Version) HISCHALL 2013 이름:강명석 ID:dladbru BAAASIC GNIREENIGNE (50) 히히히 Solver:25 문제를 받아 올리디버거로 열어보면,“input string:“를 출력해준 뒤 값을 입력받 는다. 입력받은 다음 BreakPoint에 걸리게 아래와 같이 걸어두었다. input값으로 “1234567890“ 을 입력해 주었다. 012F156C B8 01000000 MOV EAX,0x1 012F1571 6BC0 05 IMUL EAX,EAX,0x5 012F1574 0FBE4C05 E4 MOVSX ECX,BYTE PTR SS:[.. 2013. 11. 17. Reversing Reversing.Kr 이나 리버싱 관련 문의는 dladbru@nate.com 친구추가해주세요. P.S 저도모르는게많습니다 2013. 10. 27. 이전 1 ··· 27 28 29 30 31 32 33 ··· 43 다음 반응형