일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- VMware
- c# 파일 IO
- vbscript
- anti vm
- PowerShell
- c# 파일명 변경
- TCP Server/Client
- Universal ShellCode
- Python LoadLibrary
- PPT Malware
- hex2bin
- c# xml 파싱
- c# 외부 프로그램 실행
- c# 디렉토리 파일 조회
- Python GetProcAddress
- UDP Server/Client
- Hover Action
- Python Win32 API
- 파워쉘
- Mouse Over
- pdf 악성코드
- 파이썬
- 파이썬 외부프로그램 실행
- c# 파일 읽기쓰기
- TCP Socket
- c# 프로그램 종료
- 악성코드
- 최순실 악성코드
- FTP Server/Client
- 한글 악성코드
- Today
- Total
목록분류 전체보기 (50)
그냥저냥
*** 해외 블로그 글을 맘대로 번역(이라 쓰고 오역이라 읽는다) 했기 때문에 말이 좀 이상할 수 도 있음... Windows PowerShell은 여러 가지면에서 보안진단자나 시스템운영자 등에게 유용한 툴임은 분명하다. 하지만 Windows Vista 이상부터 기본 탑재되는 PowerShell의 스크립트는 디폴트로 실행이 금지되도록 설정되어있다.이러한 설정은 인터넷에 있는 유용한 PowerShell Script 사용을 하고자 하는 시스템관리자 또는 개발자에게 작은 난관이 되기도 하지만, 모의해킹 진단을 할때도 작은 장애물로 작용하기 마련이다. 따라서 Policy 설정 변경 뿐만 아니라 정책을우회하여 PowerShell 스크립트를 실행하는 몇가지 방법을 소개한다. PowerShell 실행 정책 및 기본 ..
* 이슈 개요우크라이나 대규모 정전사태, 발생원인은 악성코드 블랙에너지3로 드러나 C&C 명령으로 악성행위, C&C서버 통신 데이터 복호화, 플러그인 설치 등 수행(상세내용 기사참조 : http://www.boannews.com/media/view.asp?idx=49670) * 전체 동작과정 요약 엑셀 문서 실행 시 아래 그림처럼 매크로 기능을 활성화 시키지 않으면 문서 내용을 볼 수 없다는 메시지가 출력되면서 사용자가 매크로 기능을 자발적으로 활성화 시키도록 유도하고 있다. 해당 문서에 존재하는 악의적인 매크로 코드를 추출하기 위해 oletools의 olevba.py 스크립트를 이용하자.-c 옵션은 문서파일에 존재하는 VBScript 코드만 보여주는 옵션이다. 단순히 스크립트 코드만 출력해주므로 리다이..
1. %SYSTEMROOT%\drivers 에 파일 존재 유무 체크 (FindFirstFile / FindNextFile) => hsfs.sys vmhgfs.sys prleth.sys prlfs.sys prlmouse.sys prlvideo.sys prl_pv32.sys vpc-s3.sys vmsrvc.sys vmx86.sys vmnet.sys 2. GetModuleHandle 함수로 프로세스에 아래 DLL이 로드되었는지 확인 => dbghelp SbieDll api_log dir_watch pstorec 3-1. 레지스트리 값 체크 (서비스) 경로 : HKLN \ SYSTEM \ ControlSet001 \ Services [VMware] => vmicheartbeat vmicvss vmicshutdo..
- Host OS 환경의 CPU 속도와 Guest OS 환경의 CPU 속도가 100% 동일하지는 않을 것이라는 생각에서 시작 - RDTSC 명령을 이용하여 프로세스 실행 순간부터 2개의 RDTSC 명령을 만나는 순간까지 CPU 사이클의 차이를 확인 - Host OS 512 int main(){ unsigned long a,b,c; __asm{ push eax push ebx rdtsc // 첫 번째 CPU 사이클 계산 -> eax 에 저장 mov b, eax mov ebx, eax rdtsc // 두 번째 CPU 사이클 계산 mov c, eax sub eax, ebx mov a, eax pop eax pop ebx } printf(“첫번째 RDTSC CPU 사이클 : %..
- I/O 포트는 Host OS와 Guest OS간 데이터를 주고 받을 수 있는 일종의 통신 채널- I/O 를 위한 명령어로는 IN / OUT 명령이 존재함 - I/O 명령은 EFLAGS 레지스터를 이용하여 실행 --> EFLAGS 레지스터는 커널 레벨에서만 동작 (사용자 레벨에서 사용시 익셉션 발생) - Guest OS 에서는 IN 명령어 사용시 익셉션이 발생되지않음 + EBX 레지스터에 "VMXh" 라는 고유한 값이 저장됨 (VMXh = 가상 환경에서 IN 명령어의 특별한 기능으로 인해 생성되는 Guest/Host 간의 고유한 통신채널) - eax = VMXh , ecx = Command , dx = VX 설정 후 in eax, dx 명령 실행 시 EBX 로 "VMXh" 저장됨