본문 바로가기
기타/DMZ

2011.09.09 KISA 리버스 엔지니어링 교육 메모

by ITPro 2011. 9. 9.

NetScheduleJobAdd
admin$ 로 접속했을때 지정된 스케쥴 실행하게 하는 함수

AdjustTokenPrivileges
-권한 상승 관련 API
-시스템 dll 파일 등을 수정하기 전 권한 상승이 필요

System Explorer
-스냅샷 기능을 이용하여 파일,레지스트리 등등의 추가 제거 여부를 확인 가능
(스냅샷 비교만으로 파일 추가 제거 여부 확인 가능한게 장점)
(어떤 프로세스가 동작하며 추가 제거 하였는지 알 수 없는게 단점)

API Monitors
-api 관련 내용을 모니터링

Malzila
-난독화 문제 해결 및 문자열 디코딩 등등

PDF TK
-PDF 디코딩 도구


Search for All > intermodular calls 로 writeFile 등의 함수에 브레이크 포인트를 걸면 대략적인 실행 순서 등을 파악하기 쉬움



게임 계정 탈취 바이러스(x7.exe) 대략적 분석 내용
40224E 시스템 디렉토리 경로 저장
402254 tick 카운터 값 저장
40226E 시스템 디렉토리 경로/win_tick값.log 문자열 저장
4022A8 시스템 디렉토리/ole.dll 을 40226E에서 만든 문자열로 파일명 변경
4022C3 시스템 디렉토리/ole.dll 파일을 생성
4022EC 4065C0 위치에 저장된 ole.dll의 내용을 방금 생성한 ole.dll에 작성
402308 AHNTASK_SESSION이라는 타이틀을 가진 윈도우가 존재하는지 확인
402332 존재한다면 ole.dll 파일을 c:\windows/game_loginfo.log로 복사
402339 그 후 game_loginfo.log 파일을 로드
402345 Glbkvlt_evt_0001 이벤트를 발생시킴
40235C game_loginfo.log 내부에 존재하는 _FJ_XLG@4 라는 함수의 주소를 질의
402366 _FJ_XLG@4 함수를 실행

ole.dll 안랩 죽이는 역할?을 하는 파일로 예상됨

fwrite는 PE 헤더 변경때 쓰인것으로 예상? 실질적 코드도 다 들어있는것 같음
dadmi23(a)네이트 강사님 메일

반응형

'기타 > DMZ' 카테고리의 다른 글

2011.09.19 Tacademy 안드로이드 1일차 메모  (0) 2011.09.19
2011.09.15 KISA 리눅스 보안 심화과정 메모  (0) 2011.09.15
2011.02.19 메모  (0) 2011.02.19
2011.01.05 간략 메모  (0) 2011.01.05
2010.12.26 정리 예정  (0) 2010.12.26

바로가기