Malware Analysis (18) 썸네일형 리스트형 size_t??? 원문 : size_t is an unsigned data type defined by several C/C++ standards, e.g. the C99 ISO/IEC 9899 standard, that is defined in stddef.h.1 It can be further imported by inclusion of stdlib.h as this file internally sub includes stddef.h. This type is used to represent the size of an object. Library functions that take or return sizes expect them to be of type or have the return type of size_t. F.. Difference between Multiprocessing and Multithreading (출처 :https://www.youtube.com/watch?v=NxR6IgP3bUc) 우선, 사전적으로 어떤 차이가 있는지 위키백과를 통해 알아보자. Multiprocessing(다중 처리) 다중 처리는 컴퓨터 시스템 한 대에 둘 이상의 중앙 처리 장치(CPU)를 이용하여 병렬로 처리하는 것을 가리킨다. 또, 이 용어는 하나 이상의 프로세서를 지원하는 시스템의 능력, 또는 이들 사이의 태스크를 할당하는 능력을 가리키기도 한다. 다중 처리 시스템은 다중 처리가 적용된 시스템을 뜻한다. 다중 처리 시스템에서는 여러 개의 프로세서가 하나의 메모리를 공유하여 사용하는 시스템이며, 일반적으로 하나의 운영 체제가 모든 프로세서를 제어한다. [특징] - 프로세서를 여러 개 사용하여 여러 개의 작업을 동시에 수행함.. win32 API GetComputerName ( API 모든 출처는 MSDN 아닌 경우 별도 표시) 로컬 컴퓨터의 NetBIOS 이름을 검색하는 함수이다. 이 이름은 시스템 시작시 시스템이 레지스트리에서 읽을 때 설정된다. GetComputerName은 로컬 컴퓨터의NetBIOS 이름 만 검색하기 때문에 DNS 호스트 이름, DNS 도메인 이름 또는 정규화된 DNS 이름을 검색하려면 GetComputerNameEx 함수를 호출해야한다. 함수의 원형 :BOOL WINAPI GetComputerName ( _Out_ LPTSTR lpBuffer, _Inout_ LPDWORD lpnSize ); 매개 변수 : lpBuffer : 컴퓨터 이름 또는 클러스터 가상 서버 이름을 수신하는 버퍼에 대한 포인터이다. 버퍼의 크기는 컴퓨.. Remote deburger 호스트 컴퓨터를 지키기위한 원격 디버그 포스팅! 1. IDA가있는 디렉터리에 dbgsv디렉터리에 들어가보면 다음과 같이 reomote실행파일을 볼 수 있다. 본인 vmware에 맞게 복사를 한다. 2. vmware에 디버그할 악성코드가있는 경로에 붙여 넣기를 한다. 3. vmware에서 관리자 권한으로 cmd를 실행 후 해당 win32_remote.exe와 악성코드 샘플이 있는 디렉터리로 이동 후 win32_remote.exe를 실행(여기서 나온 my ip를 기억해야 한다.! ) 4. host에서 malware_sample1를 ida로 열고 원하는 위치에 breakpoint를 설정해준다. 그 다음 밑줄 친 부분을 remote window deburger로 바꾸고 yes 를 눌러준다. 5. 그럼 다음과 같.. 해시(hash) vs 암호화(encryption) 해시(hash)란? 해시 함수는 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수이다. 해시의 대표적인 종류로는 MD5, SHA 계역 해쉬함수가 있으며 비암호적 해시함수로는 CRC32등이 있다. 해시변환 테스트를 원하면 구글에 'online hash' 키워드로 접근하면 쉽게 찾을 수 있다. 이제 해시 함수의 특징에 대해 알아보자. 1). 단방향성 - 예를들어, 바나나 우유가 해시라고 한다면 바나나는 원래의 정보이다. 바나나(원래의 정보)를 믹서기에 갈아서 바나나 우유(해시)를 만들면 다시 바나나로 만들기는 거의 불가능하다. 이처럼 얻어진 결과값(해시)을 가지고 원래의 정보를 알아내기란 현재의 컴퓨터 기술로는 매우 어렵다. 따라서 해시는 password로 많이 사용된다. 본인외에는 해시값을 모른.. Satana Ransomware Analysis Summary(Sanata Ransomware Time table) Symptoms of compromise # 위와같이 돈을 요구하는메시지박스와 바탕화면에는 !satana!.txt 및 바탕화면에있던 파일이 암호화되었다. # satana.exe를 실행했던 폴더에는 satana.exe파일이 사라지고, !sanata!.txt가 생겼다. # 여기저기 확인해보니 모든 폴더에 !sanata!.txt가 생성되었음을 확인했다. # 또한 processhacker를 통해 강제 terminate를 안해준다면 시스템이 자동으로 reboot된다. Analysis tool 1. sysmon 2. Autoruns 3. procmon 1. sysmon 1). Process create 2). Process Terminate 2. .. Cerber Ransomware Analysis Summary(TeslaCrypt Ransomware Time table) Cerber.exe - Process create(3892) [+]Regisrtry => KHLM\SOFTWARE\Microsoft\Cryptography\MachineGuid [+]Regisrtry => KHLM\System\CurrentControlSet\Control\ComputerName [+]File Drop(not copy): C:\Users\kimhy\Desktop\malware\Ransomware.Cerber\Cerber.exe => C:\Users\kimhy\AppData\Roaming\CondSlate.dizL [+]File Drop(not copy): C:\Users\kimhy\Desktop\malware\Ra.. vssadmin vssadmin(Volume Shadow Copy)이란 특정한 시각의 파일, 폴더 또는 특정한 불륨의 수동 또는 자동 복사본이나 스냅샷을 저장해둔 것을 말한다. 스냅샷의 두 가지 주된 목적 - 일정한 볼륨 백업본을 만들어서 백업을 하는 동안 내용이 바뀌지 않도록 보증하는 것이다. - 파일 잠금의 문제를 피하는 것이다. 읽기 전용인 볼륨 복사본을 만들면서, 백업 프로그램은 다른 프로그램이 같은 파일에 쓰기를 하는 간섭 과정 없이 모든 파일에 접근할 수 있다. 또한 사용자는 스냅샷에 존재했던 파일에 접근 할 수 있으므로 이전 버전의 파일을 탐색하거나 실수로 지워진 파일을 복수할 수 있다. 내가 vssadmin에 대해서 공부한 이유는 TaslaCrypt 랜섬웨어에서 자식 프로세스가 "vssadmin.exe" .. 이전 1 2 3 다음
