일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- react
- open redirect
- 많다..
- 변태는
- self-signed
- hash
- md5
- speed-measure-webpack-plugin
- 취약점
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- ssrf
- aes
- 스캠
- CryptoJS
- 모의해킹
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 채팅환전사기
- 로맨스스캠
- sha256
- 사진도용
- decrypt
- Craco
- 척추관협착증
- XSS
- NUGU
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- Malware Sample
- shell_gpt
- https
- esbuild
- Today
- Total
목록분석생활 (78)
annyoung
그전에 이어서 포스팅. Pecompact ver.2.7.78a ~ 3.11.00 언패킹이 되고 나서.. 해당 바이너리를 계속 포스팅하겠다. 대부분의 악성코드가 VirtualAlloc을 이용해서 10000000에 메모리를 할당하고 거기에 데이터를 써 넣는다. 그렇기에 올리디버거 command line에 bp VirtualAlloc을 이용하여 브레이크 포인트를 박아준다. 박아줬으면 Alt+B를 눌러서 브레이크포인트가 잘 박혔나 확인. 잘 박혔다. 그럼 이제 F9눌러서 쭉 진행한다. 10000000에 데이터를 써 넣기 위해서 메모리 할당 해주는 것을 볼 수 있다. 쭉 진행하다가 메모리 영역을 보면 10000000이 할당되어 있고 10000000영역에 데이터도 정확히 들어간걸 볼 수 있다. 덤프뜬다. 추가로 계..
해당 바이너리는 PEcompact ver.2.78a ~ 3.11.00로 패킹되어 있지만 언패커가 없는 상황 그러므로 어쩔 수 없이 매뉴얼 언팩을 시도. 오늘도 어김없이 OEP를 찾아 떠난다. 올리디버거로 열어보면 다음과 같은 주소에서 시작이 되는데 계속 진행시켜준다. ZwContinue가 나오면 F7을 눌러서 진행합니다. (정확하진 않지만 루트킷 방식이라 생각됨. SYSENTER가 나오는 것으로 보아 SSDT Hooking) FastSystemCall이 나오는데 F7로 다시 한번 더 실행 SYSENTER가 나오는데 F8로 진행합니다. 진행하면 PUSHAD대신 PUSH EBP, EBX, ECX, EDI, ESI, EDX를 이용하여 레지스터 값들을 저장시키는 것을 볼 수 있습니다. F8을 눌러서 계속 진행합..
페이스북 그룹에 가끔 올라오는 통장 임대.. 빌려주는것만해도 불법이다. 홈페이지를 덤프떠서 자기 홈페이지인 것처럼 사용하고 있는데.. 회사 홈페이지랑 정말 똑같이 생겼다. 역시 툴의 힘이랄까.. 게시판에 글쓰는 기능의 경우 원래 홈페이지로 리다이렉션 시켜버리는..
How to bypass anti VM at parallels 더미다 특정 버전에서는 VMware 뿐만 아니라 Parallels를 탐지합니다. 현재 악성코드에서 Parallels 탐지하는 악성코드는 한번도 보진 못했지만 언젠간 쓸일이 있을것 같아서 작성합니다.(물론 맥북에서 게임 하려고 하는 것도 있지만..) [Themida] Sorry, this application cannot run under a Vitual machine구체적인 예를 들자면 메이플스토리에서는 Themida를 사용하여 VM을 탐지합니다. HKLM\HARDWARE\DESCRIPTION\System에 들어가면 VideoBiosVersion이 있는데 이 데이터 부분을 삭제해주시면 됩니다. Parallels(R) VGA-Compatible..
뭐.. 내가 잘하고 있는건지 못하고 있는건지 잘 모르겠다. 전문적인 지식을 가져야지.. 똑같이 따라하는게 아니라 왜 그러는지 이해하며.. 1. LoadLibraryA를 통해서 Kernel32.dll을 로드시킨다. 2. GetProcAddress를 이용하여 여러 API를 가져온다.ex) CloseHandle, ReadFile, CreateFileA, 등.. 3. 자기 자신을 읽어와서 바이너리 내부에 있는 암호화된 내용을 복호화 하기 시작. 4. 0x004314EB에서 복호화를 시도.참조 되는 메모리 영역 주소는 다음의 이미지에서 언급하겠다. 5. 대략.. 0x0041A384에서 부터 복호화가 시작되며 레지스터를보면 복호화가 시작되고 있다는걸 알 수 있다. 쭉 진행..
VirtualBoxhttp://pastebin.com/RU6A2UuB (9 different methods, registry, dropped VBOX dlls, pipe names etc)http://pastebin.com/xhFABpPL (Machine provider name)http://pastebin.com/v8LnMiZs (Innotek trick)http://pastebin.com/fPY4MiYq (Bios Brand and Bios Version)http://pastebin.com/Geggzp4G (Bios Brand and Bios Version)http://pastebin.com/T0s5gVGW (Parsing SMBiosData searching for newly-introduced o..
악성코드 중에서 디스크 디바이스를 검색해서 VMWARE, VBOX, VIRTUAL이라는 문자열이 들어가면 가상머신인것을 탐지하여 실행되지 않게하는 악성코드가 있으므로.. 우회 해주려면 다음 스크립트를 사용하면 된다. vmx 수정해서 vmware tools 못쓰는것보단 낫다. 참고로.. 대부분의 악성코드가 레지스트리 검사해서 3가지 문자열을 검사하므로 치환해주면 된다. import os import sys #VMware Disk name = SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S&Rev_1.0\4&5fcaafc&0&000 VirtualDisks = ['VMware', 'VBox', 'Virtual'] if sys.platform == 'win32': import _w..
심심해서 가지고 놀다가 nc로 붙어보니 Gh0st고 패킷을 보내네요. 해당 악성코드는 Gh0st RAT을 사용한것 같습니다. Gh0st RAT 최신버전은 zlib+data를 xor해서 패킷송수신한다던데..
보호되어 있는 글입니다.
FileName lpk.dll MD5 82074e886b2cc21471075f4192c4eabb SHA256 e6d6d84fdbda986dd818a79acab628fa5fe901137e1bddc239f510703a4bf0e0 이 녀석이 노트북하고 회사 가상머신에 감염이 되어서 몇일동안 개고생을 했다.. 어디서 감염된지도 모르겠고.. executable한 바이너리가 있는 폴더에 lpk.dll이 숨어있고 dll injection이 되서 자꾸 프로세스에 은닉한다. o services.msc를 열어서 Distribuyww를 정지시킨다.o Process Explorer를 사용하여 dll injection 된 lpk.dll, hra33.dll를 종료시킨다.o 해당 서비스의 경로로 따라가 hra33.dll과 바이너리..