기타

2012.03.20 JS 악성코드 분석 메모

현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다.  ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … 더 읽기

2011.1.4 Xema worm 동적 분석 메모

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun   145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue   0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell  explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

2011.10.07 KITRI 메모

APT 공격 절차 1.HOST System 제어 권한 확득 (악성코드를 통한 방법이 가장 일반적. Email,ActiveX,P2P등을 이용한 전파) 2.내부 네트워크 정보 수집 / 주요 서버 시스템 접근 권한 획득 3.주요 정보 탈취 정보 수집 기법 1.Foot printing (웹사이트,이메일 헤더 분석,직업 사이트,whois,블로그 등등을 이용, 공격 대상에 직접적으로 영향을 끼치지 않음) 2.scanning  Active Host Scanning : 동작 중인 시스템 … 더 읽기

2011.09.30 Tacademy 안드로이드 10일차 메모

우리나라의 mms는 현재 세계 표준과 다르다. 요즘은 보안 문제로 제조사에서 sms 컨텐츠 프로바이더로의 접근을 막고 있다. Thinking in java 4/e 자바 고급 배터리 상태 접근은 BATTERY_STATS 퍼미션 필요 매니페스트 파일의 uses-feature 에 설정된 기능을 지원하지 않는 경우 설치가 되지 않도록 해줌 멀티미디어 prepare 동기식 prepareSync 비동기식 이미지버튼은 클릭 이벤트 보다는 터치 이벤트가 감지가 잘 된다.

2011.09.28 Tacademy 안드로이드 8일차 메모

SQLite3 관계형 데이터베이스 파일 기반 데이터베이스 외부키를 지원하지 않기때문에 트리거를 통해 구현해야한다. 컨텍스트 : 안드로이드가 모든 어플리케이션에게 제공하는 선물 setLickingEnables 트랜젝션이 완료되기 전에 다른 트랙젝션이 데이터베이스를 참조하는것을 방지해줌 compileStatement : preparedStatement와 비슷 rawQuery : Content Provider에서는 사용 불가 for문에서 length 값을 직접 참조하기 보다는 변수에 값을 저장하고 그 변수를 이용해서 반복문을 도는게 좋다. c:\Docum~\administrator>adb shell … 더 읽기

2011.09.27 Tacademy 안드로이드 7일차 메모

데이터베이스 웬만하면 사용하지 않고 애플리케이션의 요구사항을 적절히 파악하여 사용 여부를 결정한다. (XML이 빠름) droidAtScreen 폰 화면 불러오는 파일 안드로이드 환경설정관리 android:dependency 다른 환경설정의 설정여부에 따라 활성화 비활성화 시킴 stream : 흐름 가장 먼저 source target 파악이 필요 통신을 위해서는 스트림(흐름)을 만들어야하고 스트림은 생성자를 통해 생성한다. 데이터의 종류에 따라서 소스, 타겟 클래스를 결정 지어야해야한다. 바이트 데이터는 … 더 읽기

2011.09.26 Tacademy 안드로이드 6일차 메모

안드로이드 네트워킹 개발시 네트워크 기능을 포함하려면 초기 설계 단계부터 반드시 고려해야한다. [JSON] 자바스크립트를 객체화해서 통신 (엔터테인먼트 앱, 아이폰에서 많이 사용) 무겁기 때문에 웬만하면 사용하지않는 것을 권장 [XML] XML 데이터를 주고받으면서 통신 (정형화된 방식이 있음) 파서가 필요함 (웹은 대부분 DOM ,앱은 대부분 SAX) [SOAP] WSDL (KSOAP2 라이브러리 임포트가 필요함) 원격에 있는 프로그램을 실행시키는 원리 웹 + … 더 읽기

2011.09.24 KOSR 악성코드 세미나 메모

2~3년 빡시게!! [안랩] 분석팀 30 + 4명 현재 백신 엔진 사이즈를 8~9 배 줄이고 있음 악성코드는 퍼즐이다. 계속적으로 분석하고 분석하면 악성코드의 구조가 명확해지고 뚜렷해진다. 분석에 있어서 추정과 추측은 금물이다. (팩트!!) INT 2E 안티 디버깅 (좀 더 알아볼 내용**) 악성코드 개발 그룹도 체계적으로 구성되어 있다. 초창기 = 네이티브 1차 변형 = 패킹 2차 변형 = 다중 … 더 읽기
바로가기