본문 바로가기

Study/study17

PE 구조 파싱 (PE Structure Parsing) 이번 글에서는 PE 구조를 파싱하는 방법에 대해 알아보겠습니다. 프로세스 정보를 담고 있는 구조체인 PEB(Process Environment Block)를 이용하여 현재 로드된 모듈(DLL)의 정보를 가져올 수 있습니다._PEB 필드 Ldr은 _PEB_LDR_DATA 구조체의 포인터입니다. _PEB_LDR_DATA 구조체는 현재 프로세스에서 로드된 모듈들의 정보를 담고 있습니다. 이 구조체에는 _LIST_ENTRY 타입의 멤버(InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList)가 있습니다._LIST_ENTRY 타입은 양방향 연결 리스트로 두 포인터 Flink, Blink로 구성되어 있습니다. 이 포인터를 통.. 2025. 6. 11.

COM(Component Object Model)의 개념 오늘은 COM(Component Object Model) 개념에 대해 알아보겠습니다. ○ COM(Component Object Model) 개념Microsoft에서 개발한 소프트웨어 컴포넌트 기반의 인터페이스 표준입니다.일반적으로 클라이언트/서버, RPC, 분산 객체와 같은 분산 컴퓨팅 모델에서 작동하도록 설계되었습니다. 어떤 언어로든 COM 객체를 쉽게 작성할 수 있고, 그 기능을 일반 프로그램에서 사용할 수 있습니다. ○ COM 구조의 핵심 요소COM 객체실제 동작하는 인스턴스(instance)를 의미합니다.최소한 IUnknown 인터페이스를 구현하고 있는 컴포넌트 단위의 객체입니다.IUnknown은 모든 COM 인터페이스의 기반이 되는 인터페이스이므로 COM의 모든 객체가 반드시 구현해야되는.. 2025. 4. 21.

위협 행위자 분류 체계 및 명명법 오늘은 위협 행위자 또는 공격 그룹의 분류 체계와 명명법에 대해 알아보겠습니다. 마이크로소프트(Microsoft)초기에는 THALLIUM(탈륨), CERIUM(세륨). ZINC(아연), OSMIUM(오스뮴)과 같은 원소 기호를 사용하여 이름을 명명하였습니다. 그러나 현재는 날씨 주제를 기반으로 한 명명 분류법을 사용합니다.Microsoft는 위협 행위자를 다음과 같이 5가지 그룹으로 분류하고 있습니다.국가 지원 행위자(Nation-state actors)국가 지원(nation/state)을 받으며 행동하는 위협 행위자입니다.이 위협 행위자는 대부분 간첩 또는 감시를 목적으로 하며 정부 기관, 정부 관련 조직, 비정부 조직 또는 싱크 탱크를 대상으로 작전과 공격을 수행합니다.재정적 동기의 행위자(Fin.. 2025. 4. 2.

Managed code / Unmanaged code / Native code 차이 Managed code[정의]관리형 환경에서 실행되는 코드 [특징]CLR(Common Language Runtime)에서 실행되며 CLR은 다양한 관리 작업을 자동으로 처리해줍니다.가비지 컬렉션(Garbage Collection)을 통해 메모리 할당과 해제를 자동으로 처리합니다.예외 처리가 또한 자동으로 이루어집니다.코드 실행 중 발생할 수 있는 보안 문제를 관리형 환경이 처리해줍니다..NET Framework나 Java 같은 관리형 런타임을 통해 여러 플랫폼에서 동일한 코드를 실행할 수 있습니다.CLR은 코드를 실행할 때 디버깅과 프로파일링을 지원해줍니다. [예시]C#VB.NET Unmanaged code[정의]운영체제나 런타임 환경의 자동 관리 없이 실행되는 코드 [특징]운영체제의 메모리 관리를 수.. 2025. 2. 27.

바이너리에서 암호화된 문자열 추출(복호화)하기 악성코드는 흔히 XOR 연산을 통해 난독화하고 내부 데이터를 숨깁니다.이를 복호화하는 python 스크립트에 대해 공부해보겠습니다. (스크립트는 모두 Alexandre Borges의 "Malware Analysis Series(MAS) – Article 2"를 참조하였습니다.) 샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.해당 샘플은 Qakbot 악성코드로 언패킹한 후 진행하였습니다. 먼저 악성코드의 자체 복호화 함수를 살펴보겠습니다.복호화 루틴 sub_100085dC를 보면, 두 번째 인수는 암호화된 문자열로 0x1001D5A8에 있고 새 번째 인수인 복호화 키는 주소 0x1001E3F8에 있습니다.. 2025. 2. 6.

Dynamic 안티 디버깅(Anti Debugging) 기법과 우회 오늘은 Dynamic 안티 디버깅 기법에 대해 알아보겠습니다.Dynamic 안티 디버깅 기법은 핵심 코드(OEP)로 가지 못하도록 트레이싱을 지속적으로 방해합니다. 1. 예외 (Exception)첫 번째는 예외를 이용한 방법입니다.일반 실행과 디버거 실행의 차이를 이용하는 것입니다. 일반 실행은 예외 발생 시 SEH를 호출하지만 디버깅을 통해 실행하면 디버거가 처리하도록 동작됩니다. 예외를 만나면 디버거가 자체적으로 (가로채서) 처리해주기 때문입니다. 1.1. SEH (Structured Exception Handling)SEH는 예외 처리 메커니즘으로 체인 형태로 구성되어 있습니다. 첫 번째 예외 처리기에서 해당 예외를 처리하지 못하면 다음 예외 처리기로 예외를 넘겨주는 형식입니다. 예외 처리기는 .. 2024. 12. 17.

이전 1 2 3 다음

티스토리툴바