[Reversing] API 동적 로딩 기법
[Reversing] API 동적 로딩 기법 Emotet paylaod 분석할 때 알게 된 ?.dll API 동적 로딩 기법을 이용한 부분 참고. TEB0x30 : PEB PEB0x0C : PEB_LDR_DATA PEB_LDR_DATA0x0C : ( InLoadOrderModuleList )0x14 : ( InMemoryOrderModuleList )0x1C : LDR_MODULE ( InInitializationOrderModuleList ) ( InLoadOrderModuleList )( 바이너리 -> ntdll.dll -> kernel32.dll -> kernelbase.dll )0x00 : Next Module0x04 : Previous Module0x18 : ImgBase0x1C : EP0x20..
[Reversing] Malwarebytes CrackMe: a step-by-step tutorial
[Reversing] Malwarebytes CrackMe: a step-by-step tutorial 악성코드 분석 훈련용 샘플로 MalwareByte에서 제작하였다.Malwarebytes Crackme로 분석 연습용이며, CrackMe에서 다양한 기술을 보여주므로 좋은 경험이 되었다. - [https://blog.malwarebytes.com/tag/malwarebytes-crackme/] - https://jeongzzang.com/99 첨부- 훈련용 파일
[Reversing] PEB Structure kd> dt _PEBnt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA - 링크 +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS +0x014 SubSystemData : Ptr32 Void +0x018 ProcessHeap : Ptr..
[Reversing] RaiseException dwExceptionCode_SEH 0x00000000 STATUS_SUCCESS 0x00000001 STATUS_WAIT_1 0x00000002 STATUS_WAIT_2 0x00000003 STATUS_WAIT_3 0x0000003F STATUS_WAIT_63 0x00000080 STATUS_ABANDONED 0x000000BF STATUS_ABANDONED_WAIT_63 0x000000C0 STATUS_USER_APC 0x000000FF STATUS_ALREADY_COMPLETE 0x00000100 STATUS_KERNEL_APC 0x00000101 STATUS_ALERTED 0x00000102 STATUS_TIMEOUT 0x00000103 STATUS..
[Reversing] Process Hollowing 기법 - [ https://github.com/theevilbit/injection/tree/master/ProcessHollowing ] : source code “[processshollwing.exe] [target binary] [to be run binary]”Argv[1] 대상은 notepad.exe로 설정, Argv[2] 대상은 calc.exe로 설정. CreateProcess()을 이용하며 CREATE_SUSPENDED를 플래그로 사용한다. Notepad.exe 프로세스를 SUSPENDED 모드로 실행한다. ResumThread()가 호출될 때 까지 실행하지 않는다. SUSPENDED로 생성된 프로세스의 경우 GetThreadContex..
[Reversing] Packer, Crypter, and Protector
[Reversing] Packer, Crypter, and Protector Packer일반적으로 'runtime packers" 약자이다. 해당 기술은 실행 가능한 압축으로 이런 종류의 압축은 파일을 더 작게 만들기 위해 나왔다고 한다. 하지만 더 작은 파일의 필요성이 사라지면서 대부분 악의적인 목적으로 쓰인다. 리버싱을 더 어렵게 만들기 위해서 사용되고 있다. 대표적인 UPX 패커는 실행 압축이란 표현의 패킹/언패킹 개념 Crypter우회하는 것이 본연의 목적으로 일부 패커와 동일하며 난독화라고 불린다. JavaScript나 VBScript에서 자주 사용된다.크립터가 된 파일 역시 크립터를 디코딩 후 분석이 필요하다. Protectors리버싱을 방지하기 위한 부분으로 패킹과 암호화를 모두 포함 할 수..
[Reversing] Inline Code Patch ①
[Reversing] Inline Code Patch [Reversing] Inline Code Patch ② 원하는 코드를 직접 수정하기 어려운 경우 코드 케이브라고 하는 패치 코드를 삽입한 후 실행해 프로그램을 패치시키는 기법을 인라인 코드(Inline Code Patch)라고 합니다.또 하나의 개념은 코드 게이브(Code Cave) 입니다. 흐름을 변경하여 삽입된 코드 영역을 거쳐서 수행되도록 하는 기법을 말합니다. 위 파일을 통해 실습을 할 것입니다.[프로그램 실행시 팝업창] - 살펴보니, 텍스트 박스에 unpack me와 같은 문자가 보입니다.- x64 dbg를 통해 살펴보겠습니다. 1. x64 dbg & 흐름분석- EntryPoint로 이동을 하겠습니다.401000 PUSHAD- PUSHAD를..
[Reversing] Printf()함수 스택프레임(Stack Frame)
[Reversing] Printf()함수 스택프레임(Stack Frame) [Reversing] 스택프레임(Stack Frame)이전 게시물의 예제 중 printf("%d\n", x); 부분에 대해 간략하게 설명을 하겠습니다. printf() 함수 호출4010BB PUSH PROJECT1.41C798- 해당 41C798 주소에는 "%d\n" 문자가 있는걸 알수있습니다.[printf() 함수 호출 전 PUSH 부분] - printf() 함수의 스택 프레임을 생성합니다. 다음을 보시게 되면 순서데로 작성해보겠습니다. PUSH EBP- 스택에 현재의 EBP를 저장합니다. MOV EBP, ESP- printf()의 ESP 값을 EBP에 옮겨주었습니다. PUSH ESI- 스택에 ESI를 저장합니다.- ESI는 데..