일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- c# xml 파싱
- c# 파일 IO
- 파워쉘
- VMware
- 최순실 악성코드
- Universal ShellCode
- Python GetProcAddress
- hex2bin
- Python LoadLibrary
- Hover Action
- c# 프로그램 종료
- anti vm
- TCP Server/Client
- c# 외부 프로그램 실행
- vbscript
- TCP Socket
- PowerShell
- Mouse Over
- c# 파일 읽기쓰기
- 한글 악성코드
- c# 파일명 변경
- pdf 악성코드
- 파이썬 외부프로그램 실행
- 파이썬
- FTP Server/Client
- PPT Malware
- Python Win32 API
- UDP Server/Client
- c# 디렉토리 파일 조회
- 악성코드
- Today
- Total
목록분류 전체보기 (50)
그냥저냥
123456789import sysfrom ctypes import *import ctypes dll_name = sys.argv[1]function_name = sys.argv[2]dll = windll.LoadLibrary(dll_name)function = dll.GetProcAddress(dll._handle, function_name)print "API Address [%s] # %s : 0x%08x" % (dll_name, function_name, function)cs # 사용법 getprocaddr.py kernel32.dll WinExec
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Linq;using System.Text;..
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Linq;using System.Text;using System.Windows.Forms;using System.IO;using System.Collections;using System.Net.NetworkInformation; namespace PingSen..
예전에 업무상 잠깐 만들어서 썼었던 바이러스 토탈 조회용 코드이며, 바이러스토탈 회원가입 후 API 키를 따로 받아야함(참고로 조회 속도가 너무 빠르면 에러(?)가 발생한다고 해서 일부러 Sleep 함수를 추가함) 1234567891011121314151617181920212223242526272829import simplejsonimport urllibimport urllib2import time vtkey = "" # API Keymd5str = ""url = "https://www.virustotal.com/vtapi/v2/file/report" txtf = open("list.txt", "r") # 파일로 저장 while True: line = txtf.readline() md5str = line..
1 2 3 4 5 6 7 8 9 10 11import os, sys import urllib, urllib2 url = "" # URL 입력 cookie = "" # 필요할 경우 쿠키 입력 ReqUrl = url request = urllib2.Request(ReqUrl) request.add_header('Cookie', cookie) response = urllib2.urlopen(request) read = response.read()
최근(2016.10) 한글 문서형 악성코드를 우연히 입수하게되어서 간단히 정리만 함(관련기사) http://www.focus.kr/view.php?key=2016111000114130651 - '최순실 사태' 틈타 북한 소행 추정 사이버테러…악성코드 조심 해당 악성코드는 예전에 분석했던 HWP ParaText 취약점을 이용한 악성코드가 아닌 Ghost Script를 이용하여 쉘코드를 실행시킨다. 아래는 간단한 파일정보 스샷 HwpScan2 툴로 파일 구조를 살펴보면 바이너리 데이터 영역에 EPS 확장자를 가진 데이터가 존재하며, 압축해제된 데이터에는 조금 생소한 EPS 스크립트가 들어있는 것을 볼 수 있다. EPS 확장자는 Adobe사에서 개발한 Encapsulation Post Script 라는 것이며..
DOC 문서파일 실행 시 "파일의 내용을 보려면 매크로 기능을 활성화 해야한다" 라는 식으로 안내 문구들을 볼 수 있다.(해당 샘플에서는 친절히 Office 버전별로 매크로 활성화 방법을 글로 적어놨다) 직접 실행해서 매크로 코드를 분석하는 것은 위험하므로 OLETools 스크립트 중 olevba.py 스크립트로 매크로 코드만 추출하자. ▼ 추출한 매크로 (VBScript) 코드 분석 (워낙 간단한 코드라 걍 주석 참고)-------------------------------------------------------------------------------------------------------------------------- --------------------------------------..
[DISASM] 000000 // aaaaaa //Default color df69d2 //Regular comment b15cb1 //Repeatable comment deeef4 //Automatic comment ffffff //Instruction a4cfcf //Dummy Data Name b9ebeb //Regular Data Name 1c0adf //Demangled Name c0c0c0 //Punctuation 00d269 //Char constant in instruction 00ff00 //String constant in instruction 3250d2 //Numeric constant in instruction 4646ff //Void operand cba21a //Code ref..
* 특징 - 안티바이러스 솔루션을 우회를 목적으로 만들어진 파일리스(Fileless) 악성코드 - 레지스트리값에 스크립트를 삽입하고 악성코드를 은폐시킨 후, 실제로 파워쉘을 이용해 악성행위를 하는 악성코드※ Fileless 악성코드 : 악성코드가 메모리에만 존재하며, 하드디스크에 쓰이지 않고 RAM에 직접 로드되어 실행되는 악성코드 * 전체 행위 요약 악성코드 실행 시 가장 먼저 감염 시스템의 정보를 수집한다. 수집하는 정보는 MAC주소, OS 버전, OS Architecture 3가지 이다. 수집된 감염 시스템 정보는 C2 서버로 전송한다. 전송시 HTTP GET Method 를 이용하며, 지정된 파라미터에 담겨 전송된다.C2 서버 URL #1 : hxxp://178.89.159.34/qC2 서버 UR..
우선 PDFiD.py로 분석대상 파일의 구조를 확인하자. 해당 파일 내에는 자바스크립트와 임베디드된 파일이 존재한다는 것을 알 수 있다. 이제 peepdf로 각 오브젝트에 대한 상세내용을 보도록 하자.가장 먼저 확인해야할 자바스크립트 관련 오브젝트는 3번과 7번 오브젝트에 존재하는 것을 확인할 수 있다. 우선 7번 오브젝트를 살펴보도록 하자. 7번 오브젝트는 8번 오브젝트를 참조하고 있고, 8번 오브젝트의 스트림을 확인해보면 아래 사진처럼 난독화된 자바스크립트 코드를 확인할 수 있다. (난독화라 하기도 애매한...그냥 코드 중간중간 주석문이 들어간 것 뿐이다.) 8번 오브젝트를 파일로 추출한 후 중간중간 삽입되어있는 주석문을 제거하면 아래처럼 깔끔한 자바스크립트 코드를 볼 수 있다.this.subject..