관광이 블로그

Challenges : Basic 02 Author : ArturDents Korean : 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 English : The program that verifies the password got messed up and ceases to execute. Find out what the password is. 1) 이번에는 2번 손상문제에 관련된 문제이다이것을 풀기위해서 올리디버거로 파일을 열어보았지만, 일단 2.exe 파일이 손상된것을 알 수 있따.그래서 나는 PEView를 통해 내부 구조를 파악해보려고한다.2)여기 사진에서는 잘나와있지않지만, 맨위에 문자열을 보면 MZ 라고 하는 부분이 있을텐데, 이부분은 PE ..

1. 문제Author : abex Korean : HDD를 CD-Rom으로 인식시키기 위해서는 GetDriveTypeA의 리턴값이 무엇이 되어야 하는가 English : What value must GetDriveTypeA return in order to make the computer recognize the HDD as a CD-Rom 1) 올리디버거로 Ex_1 파일을 열어 구조를 분석 한다구조 분석전에 올리디버거 기본 단축키 정리Ctrl + F2 재시작, F9 중단점까지 이동 , F8 한줄한줄 어셈블리어 분석나는, GetDriveTypeA 에 중단점 F2 를 걸어놓고 하나하나씩 분석을 시작하였음2) GetDriveTypeA 의 값에서 CD롬 인식을 원한다3) GetDriveTypeA에서 Cd-Ro..

1. 기본 명령어 EAX : 기본적인 산술 논리 연산 리턴값 전달 EBX : 간접 번지지정 ([ebp+var_8]같은거) ECX : 반복문에 대한 카운트 몇번할지 정해주기도 하고 지역변수 지정에도 주로사용하고 EDX : 간접 번지 지정 주로 연산할때 나머지나 머 이런거 ESP : 스택의 가장 최근 데이터를 가르키게 되는 포인터 TOP포인터 EBP : 스택프레임을 지정할수있게 가장 아래에 깔리는 포인터 프레임포인터 라고도한다 ESI : 문자열 소스 인덱스 EDI :소스인덱스가 가르킬 곳 EIP 레지스터의 값을 변경할 수 잇는 어셈블리 명령어는? 조건분기 명령어 또는 CALL 또는 RET (call은 리턴주소값이 필요) 2. push의 용도? 데이터백업, 지역변수 할당, 매개 변수 전달3. stack의 용도..

1. 올리디버거 실습을 위해서 올리디버거를 깔았는데, ollydbg Themida 동작중인 디버거가 발견되었습니다. 라는 오류가 발생했다. 이것의 해결방법은 매우 간단한데, 왜 발생하는것일까? 은행 관련 공인인증하는쪽에서 충돌이 일어나는것으로 보여진다. 일단 2가지 방법이 있다. 1) path : C://programfiles(x86)/Wizvera/Delfino-G3/unins000.exe 파일을 삭제해주면 된다. 2) 제어판에 가서 Delfino-G3 를 삭제해주면 된다. 필자는 이것을 삭제하고나서 바로 에러창이 사라졌다.

1. virustotal 로 파일 분석 시기를 알 수 있다.2. peview로 어떻게 컴파일 시기를 알 수 있을까? IMAGE_FILE_HEADER 구조체에서 time data stamp 의 멤버 변수의 값을 가져와서 확인을 한다. 3. 파일 패킹 됬거나 난독화 된 징후를 알 수 있는 방법은 ? PEID에서 패킹됬거나 난독화된 징후를 알 수 있는 방법은 특정 패커에 의해서 패킹된 파일을 특정 시그니처에서 패킹 여부 체크!visual C++ 로 체킹 되므로 , 현재 난독화 되거나 패킹된것은 없다고 나옴. 4. import를 보고 악성코드를 판단 할 수 있는가? dependency Walker Tool 을 사용하여 예제 파일을 받은후 import한 데이터 값을 분석한다.5. 감염된 시스템에서 검색할 수 있는..

PE 구조 - 유닉스란? 최초의 운영체제 - coff (common object file format) : 유닉스 실행 파일 포멧 - PE(Portable Excutable) : 윈도우 기반 - ELE(Excutable Linux Format) : 리눅스 기반 - C -> 컴파일 -> 기계어 코드 -> 링커(dll) -> exe file(PE) * Structure Header--------바이트--------footer Tool: PEview analysis PEview 를 통하여 PE구조를 확인 1. Image_Dos_Header -> 실행 파일 앞에 mg가 붙는다(실행파일이라는것을 알려주는 마크 느낌) - OFFSET to New Exe Header -> PE -> 위치를 알려준다ex) 100번지 ..

PE 구조 - 유닉스란? 최초의 운영체제 - coff (common object file format) : 유닉스 실행 파일 포멧 - PE(Portable Excutable) : 윈도우 기반 - ELE(Excutable Linux Format) : 리눅스 기반 - C -> 컴파일 -> 기계어 코드 -> 링커(dll) -> exe file(PE) * Structure Header--------바이트--------footer Tool: PEview analysis PEview 를 통하여 PE구조를 확인 1. Image_Dos_Header -> 실행 파일 앞에 mg가 붙는다(실행파일이라는것을 알려주는 마크 느낌) - OFFSET to New Exe Header -> PE -> 위치를 알려준다ex) 100번지 ..

쿠키 1. id password 입력 공격자 - 리버스 텔넷방화벽?패킷 , 헤더5-tuple(5개의 인자값)protocal(T1),silp,dip,s.port,d.port 방화벽 동작은 어떻게? 1. 특정 포트번호만 막아놓고 열어놓고 하는 기능2. 내부에 관한것은 안막고 외부에것들만 막는다.3.공격자 tc 파일 업로드, nc 서버에 시험문제 구글 해킹 관련 된것검색으로 하는것 - 어셈블리어코드 1. 프로그램의 context 함수 마다 자신만의 스택공간이 있음. 2. 스택,공간 관리(함수 마다) 3. movl오른쪽에서 왼쪽이아니라오른쪽에서 왼쪽이다.4. movl %esp,%ebp5. ebp 주소를 보존 시켜주어야한다.6. 메인함수가 호출되는 시점기존의 ebp를 스택에 넣어주고기존의 esp값을 ebp로 넣어..

해킹 이란?- 국어 사전 : '남의 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지르는 일'- 영어 사전 : '컴퓨터 조작 즐기기, 무엇이나 숙고하지 않고 실행하기'- 영영 사전 : '디자이너가 의도하지 않았던 방법으로 시스템의 특성이나 규칙을 이용한 창조적인 사용법을 찾는 것' 1950년대 이전- 1918년 폴란드 암호 보안 전문가들이 에니그마 개발- 에니그마는 평문 메시지 -> 암호화 메시지 전기/기계 장치- 은행에서 쓰기위해 개발-> 제 2차 세계대전에서 군사 통신 보안용 사용 앨런 튜링(이미테이션 게임 - 1950년대 이전)- 알란 튜링이 최초의 컴퓨터 콜로서스 개발- 영화 : 이미테이션 게임- 콜로 서스는 2400개의 진공관을 이용해 만들어짐. 높이 3m- 초당 5천자 종이테이프 -> 에니그마 암..

9/18 정보 보호 수업 사용자 ->(인증) 시스템 22번 포트가 열려져있는걸 일일이 확인할 필요없이 telnet에서 제공해준다.port , ip 주소 확인 할 수 있다. IP: ping OSI seven Layer 물 데 네 전 세 표 응 ARP IP ->MAC (2계층 프로토콜)RARP MAC -> IP tcp / udp 패킷 가는 과정에서 -> 헤더가 붙는데 이 과정을 인캡슐레이션이라고한다 TTL (time to live) - 데이터 유효 기간을 나타내기 위한 방법 흐름 제어 (Flow Control) ㅇ 송신측이 수신측의 처리속도 보다 더 빨리 데이타를 보내지 못하도록 제어해 주는 것 세그멘테이션 위반, 세그멘테이션 실패라고도 하며, 세그폴트(Segfault)로 줄여서 쓰기도 한다. 세그멘테이션 ..

- Three Way-handshaking SYN ACKTCP hander - TCP 주요 기능1.흐름제어2. 혼잡제어라우팅쪽에서 흐름 밀리면,속도제어 TCP SEVEN LAYER - Dos VS DDOS(distributed) 공격자 -> 피해자 DDOS(여러명)DOS(단일) - 스머프 공격송신주소 조작(IP)해서 보낸다 목적지로목적지 주소 - Land공격 - 스푸핑 공격 - ARP 스푸핑 공격ARP 스푸핑은 MAC 주소를 속이는것 - 2계층 대표적 프로토콜 이더넷 - 스니핑 : 엿듣는것 동적 - 자동으로 생성 되는 Mapping정적 - 정해져 있는 Mapping - IP 스푸핑IP주소를 속이는것 - 트러스트 1. 유닉스 계열은 트러스트 인증법2. 윈도우 트러스트 X , 액티브 디렉터리 -ICMP 리다..