일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 처음이자마지막일듯
- 아이폰12
- Cerbero
- fuzzer
- CerberoSuite
- Hexeditor
- msticpy
- 신
- 복층루희네집
- 베르나르
- 존엄하게산다는것
- iphone11
- 이런사람만나지마세요
- 악성크도
- 악성코드
- 인텔리전스
- RX100
- cannot find or open
- 독서
- YARA
- 소설
- Git
- threatintelligence
- 부의본능
- protoc
- python
- Error
- 뚝썸유원지
- 아이폰11
- 똑딱이졸업하는그날까지
- Today
- Total
목록정보보안/악성코드 (27)
qingfro9님의 블로그 입니다.
회사 도서관을 갔는데 갑자기 보여서 읽게 된 '인텔리전스 기반 사고 대응' CTI쪽 업무를 안하다 보니 거리가 좀 생긴거 같아서, 시간을 내서 하루 시간을 잡아서 읽어봤다. 책의 내용을 한줄로 요약한다면, "인텔리전스를 위한 전체적인 이해를 도울 수 있는 책" 이라고 생각하면 좋을거 같다. 인텔리전스라는 나무의 큰 가지 정리 정도? 인텔리전스라는 분야가 역시 알아야할 것도 많고 사회적 경험도 많이 필요한 분야이다 보니, 깊이 있는 내용을 다루지는 못했지만, 입문하려고 하는 사람이거나, 리버싱만 하다가 갑자기 인텔리전스를 시작한 사람에게는 도움이 많이 될거라고 생각이 든다. 예를 들어서 CTI 보고서를 읽는 고객들의 니즈를 이해하는 것? 어쨋든 아는 내용이 많아서 하루만에 읽을 수 있었지만, 부족했던 부분..
https://malpedia.caad.fkie.fraunhofer.de/ *초대된 사용자만 사용할 수 있음. ... ㅠㅠ....그래서 그냥 살짝 쓱 본 내용 다음은 탭별로 어떤 내용이 있는지 정리한다. Home Fraunhofer FKIE 서비스를 무료로 제공 악성코드를 조사할 때 신속한 식별과 실행 가능한 리소스를 제공하는 것을 목적으로 한다. 모든 컨텐츠가 공개적으로 제공되지 않는다. 19년 1월 25일부터 3번의 업데이트가 있었음 Inventroy Families와 Actors로 분류하고 있음 Families : 악성코드를 기준으로 분류 -> 각 악성코드별 참고한 레퍼런스 링크와 간단한 설명이 작성되어 있다. -> 야라 룰셋도 TLP화이트까진 공유되어 있다. Actors : 국가를 기준으로 분류 ..
https://github.com/fxb-cocacoding/java2yara - JAVA에서 야라룰을 생성할 수 있는 라이브러리 - 어떻게 사용하는지 설치 git clone https://github.com/fxb-cocacoding/java2yara.git cd java2yara mvn package mvn install:install-file -Dfile=target/java2yara-0.0.1-SNAPSHOT.jar -DpomFile=pom.xml maven 저장소 (pom.xml에 섹션 추가)에 추가하십시오 : com.cocacoding java2yara 0.0.1-SNAPSHOT - 이름은 j2y라고 줄여서 사용하는 듯
오늘 카페에서 오랜만에 분석하는 노트북에 floss가 설치되어 있지 않아서 좀 봤는데, 꾸준히 개발되는거 같아서 10분정도 서치하면서 정리한 내용을 적어봤다. floss 뭔가요? 일단 strings처럼 파일에서 문자열 정보를 빼주는 도구다.! 하지만 floss의 장점은 무엇이냐? FireEye(파아)에서 개발한 도구로 파아에서는 이 도구를 "첨단 기술을 사용하여 악성코드 바이너리에서 난독화되어 있는 문자열을 추출해주는 도구"라고 정의하고 있다. FLOSS에서도 센스 있는 분을 알 수 있는 것 처럼 Fireeye Labs Obfuscated String Solver의 약어를 사용한다. 사용하면서 FLOSS에서 난독화를 해제해줘서 문자열을 보여줘서 "오!" 한적은 아직 없지만, UTF-16과 같은 문자열도 ..
LSD 섹션으로 섹션명만 바꾼 샘플이 나와서 언팩할 때 오픈소스인 upxbc의 코드만 변경해서 언팩했다. 이 코드가 누군가에겐 도움이 되길..! 파일 확장자는 없지만 editor로 올리면 코드 볼 수 있고, 섹션 헤더만 변경되어 있길래 섹션헤더 체크하는 부분만 수정하였다. 헤더만 변경했던 그룹은 별 그룹은 아니였고, 그냥 go언어 요즘 정리 중인데, go언어 사용하고 ELF 파일이길래 관심 생겨서 좀 봄. 너무 안올린거 같아서 오랜만에 업뎃.! 아 근데 티스토리 에디터 뭔가 마음에 든다?(마크다운 지원하네? 하 막다 문법 공부 해야겠다.) upxbc git주소 https://github.com/pts/upxbc/blob/master/upxbc
샘플 분석 중에 netsh을 사용하는 샘플을 만나서 commandline에 대해서 그냥 끄적인거 백업
오늘은 즐거운 김치콘 컨퍼런스 🙂 2번의 기회를 개인 사정으로 못갔다가 오늘 드디어!! 갔다. 그것도 서울에서 해서 참 다행 ㅠㅠㅋㅋ 너무 일찍가서 커피 한잔 하고 컨퍼런스 참석. 이번 뱃지는 아두이노를 사용하는 방식이라서 컨퍼런스가 끝나고 집에서 코드를 짤려는데! 이게 뭔가? 아두이노 IDE 받는 속도가 너무 느리다.. 그래서 막 업로드된 다른 사이트를 찾다가 우연히 아래 zip 파일을 찾게 된 것.! 다운은 아래 사이트에서 받은거 같은데... 이런 화면이 아니였는데, 지금들어가니까 스크립트도 없고..흠.. 여튼 내가 기록을 잘못했을 수도 있지만 아래 링크로 메모를 해놨으니..ㅎㅎ http://www[.]construccionesjoysa[.]es/%EC%95%84%EB%91%90%EC%9D%B4%EB..
샘플을 분석하다 보면 다음과 같은 코드들을 확인할 수 있다. 해당 코드는 DLL에서 API 주소를 얻어오는 코드인데 0xD45A1E1F와 0xF8245751은 각각 RtlFreeHeap 와 GetProcessHeap API다. 근데.. 분석할 때 그냥 그렇구나 하고 넘어갔는데, Olly로 보다보니. 어떻게 잃어오는지 @_@ 햇갈리더군 근데 해당 함수의 첫 코드 블록을 보면 fs:loc_2F+1을 eax에 넣어주는 코드를 확인할 수 있는데, 이 부분은 TEB 구조체를 읽어온다는 생각을 하지 못했다.. 분석할 땐, 근데 다시 와서 보니, 0x2F+1은 0x30이고, FS레지스터에 + 0x30은 TEB! 그럼 그때부터 해당 코드는 TEB에서 확인할 수 있는 PEB 정보와 등등 정보를 이용해서 API를 획득하는..
고려대학교_실행압축악성코드무력화알고리즘연구_최종보고서_ver_최종본