분류 전체보기 (117) 썸네일형 리스트형 Dreamhack / Reverse Engineering / rev-basic-9 writeup 보호되어 있는 글입니다. Powershell 실행 정책 확인 및 변경 Get-ExecutionPolicy 현재 세션에 대한 실행 정책을 얻는 명령이다. Get-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell To display the execution policies for each scope in the order of precedence, use Get-ExecutionPolicy -List. To see the effective execution policy for your PowerShell session use Get-ExecutionPolicy with no parameters. The effective execution policy is dete docs.microsoft.com 처음에는 기본값으로 .. Dreamhack / Reverse Engineering / rev-basic-series 드림핵 워게임에서 제공하는 rev-basic-n 시리즈 문제들은 전부 해결한 것 같다. 최근 악성코드 분석과 알고리즘 및 다양한 주제를 공부하게 되면서 워게임 문제를 많이 안 풀었는데 이렇게 다시 조우하니 기분이 새롭다. 동계 학부생 인턴 과정이 끝나고 나머지 문제들도 한 번씩 풀어봐야겠다. Dreamhack / Reverse Engineering / rev-basic-9 (Hint) 힌트 or 재미있었던 점 입력값을 암호화할 때 어떤 Table을 사용하여 치환하는 연산을 하는데 여기에서 사용된 테이블은 아래 위키디피아 문서의 Foward S-box 문단에서 표로 올라와 있는 AES S-box이다. 결정적인 힌트인 것은 아니지만 그래도 구글링하면서 많은 재미있는 지식을 공부할 수 있었다. S-box가 뭐지? S-box를 왜 사용하는 거지? S-box를 다른 연산과 연계해서 사용했을 때 어떤 효과를 만들어낼 수 있을까? en.wikipedia.org/wiki/Rijndael_S-box Rijndael S-box - Wikipedia From Wikipedia, the free encyclopedia Jump to navigation Jump to search The Rijndael S-.. pcode2code 설치 및 간단한 실습 pcode2code 설치 pcode2code 레포지토리를 clone하고 setup.py를 실행하여 설치하는 방법이 있다. pip를 이용하여 해당 모듈을 설치하는 방법이 존재한다. github.com/Big5-sec/pcode2code Big5-sec/pcode2code a vba pcode decompiler based on pcodedmp. Contribute to Big5-sec/pcode2code development by creating an account on GitHub. github.com 나는 첫 번째 방법을 이용해서 설치했다. setup.py를 이용해서 설치를 진행하려고 했지만 코드에 ','가 빠져서 에러가 일어났다. 코드를 수정하여 에러를 제거하고 설치를 진행하면 pcode2code 설.. demonstrate demonstrate, 동사, 아래 목록과 같은 뜻이 있다고 한다. 1. 증거를 들어가며 보여주다, 입증하다 2. (행동으로) 보여주다 3. (무엇의 작동 과정이나 사용법을) 보여주다 네이버 영영사전 가장 유명한 영어사전인 옥스퍼드와 콜린스 컨텐츠를 토대로 더 풍부한 뜻과 유의어, 예문을 제공. en.dict.naver.com 읽고 있는 발표 자료에서 demonstrate 단어가 쓰여서 문맥을 살펴보고 시연하다라는 뜻이 적절하다고 생각해서 썼다. VBA 스톰핑(VBA Stomping) 개요 VBA를 사용한 문서형 악성코드를 분석하는 중이다. 소스코드를 추출하여 난독화된 코드를 읽어보는데 선언되지도 않은 변수를 사용하는 코드가 존재했다. 오브젝트를 로드하는데 오브젝트의 이름이 정확하지도 않다. (한 글자씩 빼먹었다.) 정적 분석을 진행하면서 말도 안되는 코드를 읽으며 "추출한 소스 코드가 진짜 제대로 동작할까" 이런 생각을 했고 다른 도구도 써봐야겠다는 생각에, olevba.py를 사용하여 해당 악성코드에 대한 정보를 얻어냈고 VBA Stomping을 사용했을 가능성이 있다고 결과가 나와서 VBA Stomping에 대해서 공부하게 되었다. VBA Stomping이 뭘까? 우리가 문서를 만들고 VBA 매크로를 삽입을 했을 때 해당 매크로는 문서 내에 여러 형태로 저장된다. VBA 에디터를.. Windows 10 Home에서 어떻게 Windows defender의 실시간 보호 기능을 영구적으로 비활성화할 수 있을까? 악성코드를 분석하는데, 분명 실시간 보호를 꺼놨던 Windows Defender가 갑자기 마술처럼 되살아나서 악성코드를 탐지하고 마음대로 삭제했다. Windows 10에서 어떻게 영구적으로 실시간 보호 기능을 비활성화시킬 수 있을까? (현재 Windows 10 Home을 사용 중이다.) 일단 실시간 보호를 비활성화 시킨다. 변조 보호도 비활성화 시킨다. 레지스트리에 키를 추가한다. (경로 : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\) (키 이름 : DisableRealtimeMonitoring) (키 값 : 0x1) 실시간 보호 위에 "이 설정은 관리자가 관리합니다"라는 문구가 표시되는지 확인.. SecondSample.vir(가칭) 분석 개요 파일 정보 파일 이름 : SecondSample.vir(가칭) 파일 유형 : 리치 텍스트 포맷(*.rtf) 파일 크기 : 366KB(375,322 Bytes) 파일 해시 : 비공개 악성 행위 : CVE-2017-11882 사용, 파일 다운로드(URL 만료), 파일 실행 흐름도 악성코드가 실행될 때 어떤 과정을 거쳐서 어떤 행위를 하는지 표현해봤다. 특징 [*] SecondSample.vir 해당 파일을 열면 CVE-2017-11882 취약점이 발동하며 쉘코드가 실행된다. 1단계 쉘코드는 XOR Encrypt된 2단계 쉘코드를 복호화하는 작업을 진행한다. 2단계 쉘코드는 특정 URL에 접속하여 파일을 다운로드 받고 실행한다. [*] ugopx6413.exe SecondSample.vir에 의해 로컬 .. a.k.a = also known as a.k.a.란 "also known as"(~로도 알려진)의 약자로, 동시에 작가 혹은 가수들이 자신의 예명을 본명과 함께 표기할 때, 혹은 예명이 두 가지 이상인 경우 비중이 덜 큰 예명을 주로 쓰는 예명과 함께 표기할 때 쓰이는 약어이다. AKA - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. AKA, Aka 또는 aka는 다음과 같은 의미를 가지고 있다. a.k.a.란 "also known as"(~로도 알려진)의 약자로, 동시에 작가 혹은 가수들이 자신의 예명을 본명과 함께 표기할 ko.wikipedia.org 위키 백과에서 나온 대로 "~로도 알려진"이라고 해석하면 될 것 같다. 이전 1 2 3 4 5 6 7 8 ··· 12 다음
