윈도우 Vista/7/2008 진단 스크립트 v1.3.4

win2008 check 201510260029.zip 다운로드 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0)– 각 진단 항목에 대한 권고사항 출력 추가– 6.3 항목 화면 잠금 시간 변수 추가– 6.4 항목 로그 최대 크기 변수 추가– 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0)– 4.2 항목에 대한 점검 추가– … Read more

2012.03.20 JS 악성코드 분석 메모

현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다.  ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … Read more

[일반]Win32.Trojan.Pearmor.416768

Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[일반]Win32.FlyStudio.Worm.1289331

Win32.FlyStudio.Worm.1289331.pdf 다운로드 (Sample)Win32.FlyStudio.Worm.1289331.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[Lena] 튜토리얼 01

http://tuts4you.com/request.php?122   [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile9.uf@192E9E394F55D39F23837B.png%7Cwidth=%22321%22_##]1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성)   OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile3.uf@144D14354F55D3A00F749F.png%7Cwidth=”174″_##]Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 … Read more

[일반]Win32.Xema.worm.307200.E

Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

2011.1.4 Xema worm 동적 분석 메모

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun   145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue   0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell  explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

[상세]VBS.Autorun.7474

VBS.Autorun.7474.pdf 다운로드 (Sample)VBS.Autorun.7474.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

바로가기