반응형 전체 글300 [상세]VBS.Autorun.7474 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 11. 25. VBScript shell.run shell.run strCommand, [intWindowStyle],[bWaitOnReturn] -strCommand : 실행할 명령 -intWindowStyle : 윈도우 스타일의 Int 값 -bWaitOnReturn : 스크립트를 계속 실행하기 이전에 명령이 완료되기를 기다릴지 여부의 boolean 값 Window Style value description 0 Hide the window and activate another window 1 Activate and display the window. (restore size and position) Specify this flag when displaying a window for the first time 2 Activate & minimize 3.. 2011. 11. 24. VBScript DriveType 값 Value Description 0 Unknown 1 Removable 2 Fixed 3 Network 4 CD-ROM 5 RAM Disk 2011. 11. 24. VBScript CreateTextFile 함수 object.CreateTextFile(filename[,overwrite[,unicode]]) -filename : 생성할 파일 경로 및 파일명 -overwrite : 기존에 파일이 존재할 겨우 덮어 쓸지 여부로 Boolean 값을 가진다. -unicode : 파일을 Unicode로 생성할지 여부로 Boolean 값을 가지며 false의 경우 ASCII로 생성된다. 2011. 11. 24. VBScript 파일 객체 속성 값 Constant Value Description Nomal 0 Nomal file. No attributes are set ReadOnly 1 Read only file. Attribute is read/write Hidden 2 Hidden file. Attribute is read/write System 4 System file. Attribute is read/write Volume 8 Disk drive volume label. Attribute is read only Directory 16 Folder or directory. Attribute is read only Archive 32 File has changed since last backup. Attribute is read/write. .. 2011. 11. 24. NTDLL.dll 참조 : Windows Internals 5th NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다. 1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁 -유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다. 이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 일으키는 아키텍처한정적인 인스트럭션을 가지고 있다. 시스템 서비스 디스패처는 인자를 검증한 후 Ntoskrnl.exe 내부의 실제 커널모드 시스템 서비스를 호출한다. 2.서브시스템, 서브시스템 DLL, 다른 네이티브 이미지에 의해 사용되는.. 2011. 11. 3. 이전 1 ··· 19 20 21 22 23 24 25 ··· 50 다음 반응형