일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 파워쉘
- hex2bin
- VMware
- c# 파일명 변경
- c# xml 파싱
- 한글 악성코드
- 파이썬
- anti vm
- FTP Server/Client
- pdf 악성코드
- c# 디렉토리 파일 조회
- Python LoadLibrary
- Python GetProcAddress
- c# 프로그램 종료
- Mouse Over
- c# 외부 프로그램 실행
- TCP Server/Client
- TCP Socket
- c# 파일 IO
- 파이썬 외부프로그램 실행
- c# 파일 읽기쓰기
- 최순실 악성코드
- Universal ShellCode
- UDP Server/Client
- PowerShell
- PPT Malware
- Python Win32 API
- vbscript
- 악성코드
- Hover Action
- Today
- Total
목록분류 전체보기 (50)
그냥저냥
ssdeep은 Fuzzy Hash를 사용하여 파일의 유사도를 측정할 수 있는 프로그램이다. 즉, 원본파일과 비교할 파일들을 서로 비교하여 파일이 얼마나 유사한지를 %로 보여준다. 그럼 ssdeep 프로그램을 사용하기전에 Fuzzy Hash에 대해 먼저 알고 넘어가자. * Fuzzy Hash (Context Triggered Piecewise Hash) - 기존 Hash의 무결성 확보 뿐만 아니라 원본 파일과의 유사도를 파악 - 파일 전체에 대한 해쉬값을 계산하지 않고, 일정 크기 단위로 구분하여 각 단위 블록에 대한 해쉬값을 만들어내는 방식 - 각 영역의 마지막 몇 바이트에 대한 해쉬값을 이용하여 체크섬 데이터를 만든 후 유사도를 비교 이제 ssdeep 사용법을 보자. -h 옵션을 입력하면 아래 사진처럼..
* 전체 행위 요약 PDFiD 스크립트로 먼저 PDF 문서 구조를 확인해보면 문서 내 JavaScript가 존재하는 것을 알 수 있다. 이제 peepdf 스크립트로 자바스크립트 내용을 확인해보자자바스크립트 코드가 존재하는 오브젝트는 3번과 10번 오브젝트 임을 알 수 있다. 순서는 굳이 상관없으니 우선 10번 오브젝트부터 확인하기위해 object 10 명령을 입력한다.10번 오브젝트는 9번 오브젝트와 8번 오브젝트를 참조하고 있는데, 9번 오브젝트는 임베디드된 파일 데이터를 가리키고있고, 8번 오브젝트는 자바스크립트 데이터를 가리키고 있다. 먼저 자바스크립트 코드를 확인하기위해 8번 오브젝트를 살펴보자 8번 오브젝트의 내용을 보면 3번 오브젝트를 참조하는 것을 알 수 있고, 다시 3번 오브젝트의 내용을 ..
이용하는 한글 취약점은 한수원 샘플이랑 동일하며, 한글2010 기준으로 8.5.8.1443 버전 이하인 경우 해당 공격에 취약하다. 한글 문서 분석에 사용한 툴은 hwpscan2 v0.27 이며, 원래는 콘솔버전인 v0.21을 선호하지만 외부에서 더이상 구할 수가 없는듯하다 ㅠㅠ아쉬운대로 GUI 버전을 이용하자 우선 hwpscan2 프로그램으로 취약점을 스캔한다.버전이 업데이트 되면서 Vulnerability 부분에 Exploit.HWP.Heuristic 이라고 나오는데, v0.23 에서는 Exploit.HWP.Generic.43 이라고 나온다. 취약점 진단명인 Exploit.HWP.Generic.43 에서 맨뒤 43이 의미하는 것은 취약한 TagID 를 의미한다.해당 TagID에 대한 정보는 한컴에서 ..