초식 - BBT 쏙쏙 정보통 - 90 / 73 페이지

[일반]Win32.Xema.worm.307200.E

2025-06-272012-01-10 작성자: 초식

Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

[상세]VBS.Autorun.7474

2025-06-272011-11-25 작성자: 초식

VBS.Autorun.7474.pdf 다운로드 (Sample)VBS.Autorun.7474.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

VBScript shell.run

2025-06-272011-11-24 작성자: 초식

shell.run strCommand, [intWindowStyle],[bWaitOnReturn] -strCommand : 실행할 명령 -intWindowStyle : 윈도우 스타일의 Int 값 -bWaitOnReturn : 스크립트를 계속 실행하기 이전에 명령이 완료되기를 기다릴지 여부의 boolean 값 Window Style value description 0 Hide the window and activate another window 1 Activate and display the window. (restore size and position) Specify this flag when displaying a window for … Read more

VBScript DriveType 값

2025-06-272011-11-24 작성자: 초식

Value Description 0 Unknown 1 Removable 2 Fixed 3 Network 4 CD-ROM 5 RAM Disk

VBScript CreateTextFile 함수

2025-06-272011-11-24 작성자: 초식

object.CreateTextFile(filename[,overwrite[,unicode]]) -filename : 생성할 파일 경로 및 파일명 -overwrite : 기존에 파일이 존재할 겨우 덮어 쓸지 여부로 Boolean 값을 가진다. -unicode : 파일을 Unicode로 생성할지 여부로 Boolean 값을 가지며 false의 경우 ASCII로 생성된다.

VBScript 파일 객체 속성 값

2025-06-272011-11-24 작성자: 초식

Constant Value Description Nomal 0 Nomal file. No attributes are set ReadOnly 1 Read only file. Attribute is read/write Hidden 2 Hidden file. Attribute is read/write System 4 System file. Attribute is read/write Volume 8 Disk drive volume label. Attribute is read only Directory 16 Folder or directory. Attribute is read only Archive 32 File … Read more

NTDLL.dll

2025-06-272011-11-03 작성자: 초식

참조 : Windows Internals 5th NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다. 1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁 -유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다. 이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 … Read more

단순화된 윈도우 아키텍쳐

2025-06-272011-10-19 작성자: 초식

참조 : Windows Internals 5th [유저모드] –시스템 지원 프로세스 : 로그온 프로세스와 세션 관리자 등이 있다. –서비스 프로세스 : 작업 스케쥴러와 프린트 스풀러 서비스 같은 윈도우 서비스를 호스팅 하며 유저의 로그온과는 별개로 실행해야한다. –유저 애플리케이션 : 윈도우,MS-DOS,POSIX 등 다양한 유형의 유저 애플리케이션이 있다. –환경 서브시스템 : 운영체제 환경 지원의 일부분 또는 사용자와 프로그래머에게 제공되는 개인 환경을 … Read more

2011.10.07 KITRI 메모

2025-06-272011-10-07 작성자: 초식

APT 공격 절차 1.HOST System 제어 권한 확득 (악성코드를 통한 방법이 가장 일반적. Email,ActiveX,P2P등을 이용한 전파) 2.내부 네트워크 정보 수집 / 주요 서버 시스템 접근 권한 획득 3.주요 정보 탈취 정보 수집 기법 1.Foot printing (웹사이트,이메일 헤더 분석,직업 사이트,whois,블로그 등등을 이용, 공격 대상에 직접적으로 영향을 끼치지 않음) 2.scanning Active Host Scanning : 동작 중인 시스템 … Read more