qingfro9님의 블로그 입니다.

어떤거지? 프리다는 Ole가 개발한 DBI(동적 바이너리 인스트 루먼테이션) 프레임 워크로 스크립트와 함께 사용하여 실행 중인 프로그램 동작을 모니터링과 수정 및 기록할 수 있다. 프리다는 애플리케이션에 Hook(연결)하고, 메모리와 기능에 대해 연결하고 있는 동안 임의로 만든 자바스크 립트를 삽입할 수 있다. 윈도우, 맥OS, GNU/Linux, iOS, Android 및 QNX에서 자바스크립트 또는 자신의 라이브러리리의 스니펫을 네이티브 앱에 삽 입할 수 있다. 파이썬 기반 프로그램으로 파이썬 라이브러리를 많 이 사용한다. 프리다는 자바스크립트, C, Swift 등 여러 API를 지원한다. 주요 기능 AppMon과 Needle 등의 도구에서 프리다를 기반으로 사용 함수 후킹 관점 으로 특정 함수에 연..

https://cerbero.io/profiler 기드라를 기반으로 한 도구인 줄 알았지만 그렇지 않았군. 단지 사용하는 디컴파일러가 동인한 것으로 보인다. Suite Advanced, Standard PE, Mach-O, ELF, Java, SWF, DEX, PDF, DOC, XLS, RTF, Zip파일들을 분석할 때 사용할 수 있는 도구 Automatic analysis interactive analysis Carbon Interactive Disassembler with integrated Sleigh decompiler - Advanced byte-code disassemblers(.NET MSIL, Java, DEX, ActionScript2/3, VBA, fonts) hex editor wit..

https://malpedia.caad.fkie.fraunhofer.de/ *초대된 사용자만 사용할 수 있음. ... ㅠㅠ....그래서 그냥 살짝 쓱 본 내용 다음은 탭별로 어떤 내용이 있는지 정리한다. Home Fraunhofer FKIE 서비스를 무료로 제공 악성코드를 조사할 때 신속한 식별과 실행 가능한 리소스를 제공하는 것을 목적으로 한다. 모든 컨텐츠가 공개적으로 제공되지 않는다. 19년 1월 25일부터 3번의 업데이트가 있었음 Inventroy Families와 Actors로 분류하고 있음 Families : 악성코드를 기준으로 분류 -> 각 악성코드별 참고한 레퍼런스 링크와 간단한 설명이 작성되어 있다. -> 야라 룰셋도 TLP화이트까진 공유되어 있다. Actors : 국가를 기준으로 분류 ..

https://github.com/fxb-cocacoding/java2yara - JAVA에서 야라룰을 생성할 수 있는 라이브러리 - 어떻게 사용하는지 설치 git clone https://github.com/fxb-cocacoding/java2yara.git cd java2yara mvn package mvn install:install-file -Dfile=target/java2yara-0.0.1-SNAPSHOT.jar -DpomFile=pom.xml maven 저장소 (pom.xml에 섹션 추가)에 추가하십시오 : com.cocacoding java2yara 0.0.1-SNAPSHOT - 이름은 j2y라고 줄여서 사용하는 듯

오늘 카페에서 오랜만에 분석하는 노트북에 floss가 설치되어 있지 않아서 좀 봤는데, 꾸준히 개발되는거 같아서 10분정도 서치하면서 정리한 내용을 적어봤다. floss 뭔가요? 일단 strings처럼 파일에서 문자열 정보를 빼주는 도구다.! 하지만 floss의 장점은 무엇이냐? FireEye(파아)에서 개발한 도구로 파아에서는 이 도구를 "첨단 기술을 사용하여 악성코드 바이너리에서 난독화되어 있는 문자열을 추출해주는 도구"라고 정의하고 있다. FLOSS에서도 센스 있는 분을 알 수 있는 것 처럼 Fireeye Labs Obfuscated String Solver의 약어를 사용한다. 사용하면서 FLOSS에서 난독화를 해제해줘서 문자열을 보여줘서 "오!" 한적은 아직 없지만, UTF-16과 같은 문자열도 ..

chromedrive 사용해서 selenium사용하는데, 이상한 에러가 남 python코드에서 실행시 나는 Error [selenium.common.exceptions.WebDriverException:](selenium.common.exceptions.WebDriverException:) Message: unknown error: cannot find Chrome binary chromedriver를 실행할 때 발생하는 Error Please protect ports used by ChromeDriver and related test frameworks to prevent access by malicious code. 해결안되서 생각하다가, 내가 chrome설치 안되있어서 그런건가!! 해서 설치를 함...

LSD 섹션으로 섹션명만 바꾼 샘플이 나와서 언팩할 때 오픈소스인 upxbc의 코드만 변경해서 언팩했다. 이 코드가 누군가에겐 도움이 되길..! 파일 확장자는 없지만 editor로 올리면 코드 볼 수 있고, 섹션 헤더만 변경되어 있길래 섹션헤더 체크하는 부분만 수정하였다. 헤더만 변경했던 그룹은 별 그룹은 아니였고, 그냥 go언어 요즘 정리 중인데, go언어 사용하고 ELF 파일이길래 관심 생겨서 좀 봄. 너무 안올린거 같아서 오랜만에 업뎃.! 아 근데 티스토리 에디터 뭔가 마음에 든다?(마크다운 지원하네? 하 막다 문법 공부 해야겠다.) upxbc git주소 https://github.com/pts/upxbc/blob/master/upxbc

보호되어 있는 글입니다.

카페 조사 필요할거 같다. 게임이네; https://cafe.naver.com/uplink https://namu.wiki/w/Uplink 치트엔진 사용법 정리해보기 BypassMate 핵툴 이름인듯 CRC 개념 (분석할때 치트엔진을 주로 이용한 듯) 우회할때 중요한 요소 핵툴에서 사용하는 우회 코드들을 치트 엔진으로 볼 수 있는 것으로 보임 DLL Injection 은 기본 PACKET 을 이용한 공격도 있음 후킹 connect 함수를 후킹 내 프로그램의 소켓으로 연결 내 소켓에서 패킷을 복호화하고 원하는 대로 패킷을 변조 다시 암호화 하여 원래 목적지로 전송 드라이버 쪽 코드로 잘 보면 이용할 수 있는듯 (결국 커널쪽 지식도 많이 필요함) VTI에 native 64bits signed keattach..

(어서 와, 안드로이드 게임 해킹은 처음이지?)[https://www.slideshare.net/mobile/CodeEngn/2014-codeengn-conference-10-hacking-on-android] ...이러고 시현했다하고 끝남... 안드로이드 게임 해킹 (마인드 맵에 정리가 잘되어 있어서 열심히 적어봤다.) 종류 오토 매크로 이미지 프로세싱 매크로 패킷 분석형 매크로 이벤트형 매크로 메모리 간섭(Hook) 매크로 도구 메모리 조작 Code Caving 검색기법 증강법 문자열 검색 이벤트 검색 주소 검색 값 검색 도구 GameCIH GmaeKiller GameGadian GameHacker Cheat Droid 스피드 핵 도구 GMD Speed Time 네트워크 패킷변조 - 도구 패킷 단절 ..