본문 바로가기

Analysis

부트킷 자료 https://www.youtube.com/watch?v=jN34P4EdIUw https://www.virusbtn.com/pdf/conference/vb2014/VB2014-RodionovMatrosov.pdf 더보기
요즘 금융정보 탈취형 악성코드 이전까지만 해도 dns 를 열심히 변조하더니 요즘에는 InternetConnectA 와 InternetConnectW 를 인라인 후킹한다. 더보기
다형성 악성코드 악성코드가 동작하면 추가 악성코드를 생성한다. 하지만 다형성 엔진을 가지고 있어서, 자기 자신을 복제할 때 마다 파일 hash 값이 모두 다르다. PE 헤더는 0x00 바이너리만 압축하는 방식을 이용하여 압축되어 있다. 파일 바이러스는 아니지만 오랜만에 다형성 악성코드를 다보네 헐.. 더보기
vpcext 7, 0Bh Virtual PC를 체크할때 사용하는 코드라고 한다. 아래는 vmware 에서 동작했을 때 화면. 리턴 값이 0이 된다. 아래는 VirtualPC에서 동작한 화면. 리턴 값이 1이 된다. 더보기
닷넷 C# http://msdn.microsoft.com/en-us/library/xh0859k0(v=vs.110).aspx 더보기
work와 setsid 그냥 적당히 eax값 변경 더보기
MIPS http://www.joinc.co.kr/modules/moniwiki/wiki.php/Site/Assembly/Documents/Spim/spim-chapter1 http://parkjunehyun.tistory.com/105 더보기
Hypervisor 확인하기 int _tmain(int argc, _TCHAR* argv[]){bool x=0;__asm{ pushad pushfd pop eax or eax,0x00200000 push eax popfd pushfd pop eax and eax,0x00200000 jz CPUID_NOT_SUPPORTED ;Are you still alive? xor eax,eax xor edx,edx xor ecx,ecx xor ebx,ebx inc eax ;processor info and feature bits cpuid test ecx,0x80000000 ;Hypervisor present jnz Hypervisor mov x,0 jmp byeHypervisor: mov x,1 jmp byeCPUID_NOT_SUPPORTED.. 더보기
알약과 V3를 삭제하는 악성코드 1. base64로 인코딩된 문자열을 디코딩한다. 2. 프로세스 중에 디코딩된 문자열이 있는지 확인한다. 3. 랜덤한 파일명을 만들어서 드라이버 파일을 생성한다. 4. 등록된 드라이버의 정보 5. 알약에서 실시간을 감시하는 AYRTSrv.aye 파일의 Full Path 를 드라이버에게 전달한다. 6. 전달받은 드라이버는 IoCreateFile 를 이용하여 AYRTSrv.aye 의 접근 권한을 얻어온다. 7. IofCallDriver 를 이용하여 파일을 삭제한다. 알약의 자기보호가 걸린 상태에서도 파일은 삭제된다. 8. 이와 같은 형식으로 V3 역시 삭제된다. 자기보호 때문에 안될줄 알았는데 되네?헐-ㅁ- 더보기
DKOM hide if(PsLookupProcessByProcessId((PVOID)hps->uPid, &pEProc) == STATUS_SUCCESS){ //get EPROCESSstruct for the process we want to hide DbgPrint("EPROCESS found. Address: %08lX.\n", pEProc); DbgPrint("Now hiding process %d...\n", hps->uPid); dwEProcAddr = (ULONG) pEProc; //get address of process's EPROCESS struct __try{ //try/except just in case, so we don't get a BSOD pListProcs = (PLIST_ENTRY) (dwEP.. 더보기