반응형 전체 글303 [Lena] 튜토리얼 01 http://tuts4you.com/request.php?122 1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성) OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 추측된다. 키파일의 길이가 16자 이상이면 유효한 키인지 확인하는 루틴으로 넘어간다. 1byte씩 읽어들여 (004010C1) 아스키 코드값 47('G')과 일치하는지 확인하고 (004010CB) 일치하는경우 ESI.. 2012. 1. 12. [일반]Win32.Xema.worm.307200.E ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 1. 10. 2011.1.4 Xema worm 동적 분석 메모 프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145.. 2012. 1. 4. [상세]VBS.Autorun.7474 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 11. 25. VBScript shell.run shell.run strCommand, [intWindowStyle],[bWaitOnReturn] -strCommand : 실행할 명령 -intWindowStyle : 윈도우 스타일의 Int 값 -bWaitOnReturn : 스크립트를 계속 실행하기 이전에 명령이 완료되기를 기다릴지 여부의 boolean 값 Window Style value description 0 Hide the window and activate another window 1 Activate and display the window. (restore size and position) Specify this flag when displaying a window for the first time 2 Activate & minimize 3.. 2011. 11. 24. VBScript DriveType 값 Value Description 0 Unknown 1 Removable 2 Fixed 3 Network 4 CD-ROM 5 RAM Disk 2011. 11. 24. 이전 1 ··· 19 20 21 22 23 24 25 ··· 51 다음 반응형
