[Reversing] 전역 변수 지역 변수_어셈블리어 전역 변수는 모든 함수가 접근하고 사용할 수 있다.지역 변수는 정의된 함수에서만 접근이 가능하다. 어셈블리어로는 어떻게 다르게 보이는지 확인해 본다.전역 변수는 메모리 주소에 의해 참조되며,지역 변수는 스택 주소에 의해 참조 된다.즉, 전역 변수는 아래와 같으며mov eax, dword_[주소]mov dword_[주소], eaxmov ecx, dword_[주소]push ecx 지역변수는 다음과 같다.([ebp-4]는 지역 변수 int x 가정)mov dword ptr [ebp-4], 0mov eax, [ebp-4]mov [ebp-4], eaxmov ecx, [ebp-4]push ecx
[Reversing] CreateProcessInternalW()
[Reversing] CreateProcessInternalW() Process Hollowing 기법을 이용하는 Lokibot 분석 시 궁금하여 CreateProcessInternalW()에 대해 메모해본다. 아래 표는 CreateProcess()의 내부함수를 나열하였으며, 후킹하거나 행위를 숨기기 위해 내부 함수를 사용하는 경우가 있다. kernel32.CreateProcessW kernel32.CreateProcessInternalW ntdll.ZwCreateUserProcess //프로세스 생성됨(Suspend 상태) ntdll.ZwResumeThread //메인 스레드 Resume(프로세스가 실행) (표 - 1) CreateProcessInternalW()의 내부 함수를 들어가본다.(그림 - 1..
[Reversing] PEB, Anti-Debugging
[Reversing] PEB, Anti-Debugging PEB란? Process Environment Block로 프로세스에 대한 환경 정보를 담고 있는 것을 알 수 있다.각 프로세스들 마다 PEB를 가지고 있으며, 스레드로는 TEB를 가지고 있다.FS:[18] = TEB 주소 PEB의 안티디버깅에 대해 작성을 해보면, PEB Structure 을 살펴봐야 된다. +0x002 BeingDebugged 해당 멤버를 살펴보면 디버깅 중일 때 해당 멤버의 값은 '1'로 설정이 된다.우회를 하기 위해서는 PEB[2] 값을 '0'으로 수정하면 된다.참고, Kernel32.dll에서 IsDebuggerPresent() 함수가 이 필드를 참고하여 디버깅 상태 확인 후 리턴값을 준다. +0x018 ProcessHea..
[Reversing] ZwSetInformationThread, Anti-Debugging
[Reversing] ZwSetInformationThread, Anti-Debugging ZwSetInformationThread의 두 번째 인자 값을 확인하여 안티디버깅 유무를 확인 할 수 있다. 두 번째 인자 값에 0x11(ThreadHideFromDebugger)를 전달할 경우 디버깅을 체크 확인하여, 우회를 원하면 해당 값을 0으로 수정하면 된다. typedef DWORD (WINAPI *PFZWSETINFORMATIONTHREAD) ( HANDLEThreadHandle, DWORDThreadInformationClass,// Original : _THREAD_INFORMATION_CLASS PVOID ThreadInformation, ULONG ThreadInformationLength); t..
[Reversing] ZwContinue
[Reversing] ZwContinue 언패킹 시 ZwContinue()을 자주 보게 되어 살펴보았다.먼저 ZwContinue()의 정보를 확인 할 수 있다.ZwContinue( IN PCONTEXT ContextRecord, //Pointer to CONTEXT structure for current thread IN BOOLEAN TestAlert ); 첫번째 인자의 CONTEXT구조체 포인터로 아래와 같은 구조체 정보를 확인 할 수 있다. typedef struct _CONTEXT { DWORD ContextFlags; DWORD Dr0; DWORD Dr1; DWORD Dr2; DWORD Dr3; DWORD Dr6; DWORD Dr7; FLOATING_SAVE_AREA FloatSave; DWOR..
[Reversing] DLL Injection CreateRemoteThread() API을 이용한 인젝션 DLL 인젝션을 하기위해서는 CreateRemoteThread()을 이용하여 스레드를 생성하는 것이 아니라 LoadLibraryA()을 호출해야 된다. 즉, LoadLibraryA()을 실행 시켜 CreateRemoteTh read()의 인자에 인젝션 할 DLL의 경로를 적어 프로세스가 스스로 LoadLibrary()을 호출하는 것이다. 이러한 방법이 가능한 이유를 살펴보면 먼저 CreateRemoteThread()의 인자 중 (LPTHREA D_START_ROUTINE)llBaseAddress는 llBaseAddress가 가르키는 함수 호출 시 전달할 인자를 지정하는데 그게 ThreadProc란 ..
[Reversing] Anti-VM(Ursnif) Ursnif 분석 시 Anti-VM 우회 부분을 정리한 내용이다. (이전 Unpacking 내용), (Anti-Reversing 참고)첨부파일 Payload(decoding) 상세 분석 Ursnif 디버깅 진행 시 해당 시스템 정보를 얻는 것을 확인 할 수 있었으며, 해당 정보을 이용하여 Anti-Vm과 CPU 사이클 횟수 차를 이용하여 Rdtsc 안티 디버깅이 있는 걸 확인 할 수 있다. 즉, 해당 기법을 통하여 디버깅 유무를 확인하는 사실을 확인 할 수 있다. 그림 1 – Anti_VM, Rdtsc 안티 디버깅 먼저 Anti-Vm을 우회하기 위해 해당 “vbox”, “qemu”, “vmware”, “virtual hd” 비교 문자를 변경하려고 하였지만..
[Reversing] Malware Unpacking(Ursnif) Ursnif 분석 시 Unpacking 부분을 정리한 내용이다.첨부 파일 Unpacking(Payload) 동적 분석 시 현재 “Error Initializing Client App!” 라는 메시지와 함께 다른 행위를 하지 않는 것을 확인 할 수 있었다. 디버깅을 통해 packing 유무의 확인이 필요하다. Main()을 살펴보면 CALL 4015A1과 CreateWindowExA()을 볼 수 있다. 0x4015A1()을 살펴보게 되면 RegisterClassExA()를 만나게 되는데 정보 검색을 하게 되면 윈도우를 만드려면 윈도우 클래스를 먼저 등록한 후 CreateWindow()을 호출해야 한다. (그림 1)을 살펴보면 CreateW..
[Reversing] Crypto-Ransomware 랜섬웨어를 통해 감염된 파일은 암호화 할 때 RSA 알고리즘(비대칭키) 대신 AES 알고리즘(대칭키)를 사용하는지에 대해 작성 할 것이다.AES 대칭키 알고리즘을 사용하는 이유는 속도에 있다. 즉, 빠른 암호화가 가능하다.반대로 RSA-1024, RSA-2048와 같은 비대칭키 알고리즘은 시간이 오래 걸리지만, RSA 비대칭키 알고리즘은 안정성이 훨씬 뛰어나기 때문에 파일 암호화에 있어 함께 사용하게 된다. 즉, 랜섬웨어 제작자는 파일을 암호화 할 때 속도가 빠른 AES를 사용하고, RSA는 AES를 암호화 하는데 사용함으로써 속도와 안정성 부분을 챙길 수 있다. 공격자의 RSA 개인키를 알 수 있다면 감염된 파일을 복호화 할 수 있다.