태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'분류 전체보기'에 해당되는 글 4235건

  1. 2015.06.09 북한 "사이버 테러의 '원흉' 미국 멸망시킬 것"
  2. 2015.06.09 모바일 게임사이트를 이용한 DBD
  3. 2015.06.09 성인사이트 표적형 공격 계속 포착. 워터링 홀? 섹시 홀 공격!
  4. 2015.06.09 메르스도 문제인데... 메디컬 센터(?)도 문제였다.
  5. 2015.06.09 "미 육군 홈페이지 해킹"
  6. 2015.06.08 분석가들 교재
  7. 2015.06.08 사이버 CSI
  8. 2015.06.08 비공개
  9. 2015.06.08 정상파일 이용한 공격기법
  10. 2015.06.08 2014년 한수원공격용과 2015년 최근 발견된 HWP Shellcode 비교
  11. 2015.06.05 비공개
  12. 2015.06.05 모바일 웹 전용 APK DBD
  13. 2015.06.05 '김정은 경호부대 책임자' 윤정린 대장 계급 복귀
  14. 2015.06.04 S통합코덱
  15. 2015.06.04 북한, 박근혜 대통령 방미 비난..."6·15 행사에 재뿌려"
  16. 2015.06.04 이번 공격도 DarkComet 훔쳐쓰기
  17. 2015.06.04 “북한 역(逆)사이버 공격당했나?” 北 주요 인터넷 사이트 이틀째 ‘먹통’
  18. 2015.06.04 비공개_북한
  19. 2015.06.03 비공개
  20. 2015.06.03 안랩, ‘도움말 파일’로 위장한 토렌트 악성코드 주의 당부
  21. 2015.06.03 정치관련 문서로 공격은 계속된다.
  22. 2015.06.03 한수원의 John 컴백
  23. 2015.06.02 모바일뱅킹용 악성앱도 계속 진화하고 있다.
  24. 2015.06.01 비공개
  25. 2015.06.01 중국 스피어피싱은 계속된다.
  26. 2015.05.29 北, 군 전체 예산의 10∼20% 사이버전에 투입…도시 기능 마비에 초점
  27. 2015.05.29 도박 사이트도 문제
  28. 2015.05.28 표적공격
  29. 2015.05.26 네이버 도메인으로 위장(조작)해서 악성파일 유포
  30. 2015.05.26 가짜 인증서 선택기능
보안관련소식2015. 6. 9. 11:44


http://www.yonhapnews.co.kr/bulletin/2015/06/09/0200000000AKR20150609057700014.HTML?input=1195m


http://biz.heraldcorp.com/view.php?ud=20150609000628




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 9. 11:03


모바일 게임 사이트를 해킹해서 악성 APK를 설치하는 기법이다.


안드로이드 악성앱이 스미싱 뿐만 아니라 웹을 통해서 폭격이 진행 중이다.


아이폰은 안전하다.


플래시 플레이어 업데이트를 하라고 팝업을 띄워 이용자를 현혹시킨다.


머리 좋다.








Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 9. 10:18



가입대상자가 표적이 되고 있다.


성인용 워터링 홀 이구만..


http://viruslab.tistory.com/4307


http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3081412&ref=A



차단 및 조치필요


abam26.com/bbs/register_form.php

abam26.com/data/cheditor4/index.php

abam26.com/data/mw.basic.comment.image/redlip (exe) 


cloudware.cf/lib/1.bin

cloudware.cf/lib/2.bin



Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 9. 09:44


이 사이트 관리자 조치가 필요하다. 잡아들여야 한다.


http://viruslab.tistory.com/4308


요즘 메르스 바이러스 때문에도 분위기가 안 좋은데.. 메디컬 센터 사이트에 아침부터 분위기 안좋다.


도메인보고 좀 이상하다 싶었지만..

사이트에 가입하기 전엔 나도 의학(메디컬)관련 사이트에서 악성파일을 뿌리는줄 알았다.



이곳은 음란한 불법 성인 사이트였고, 로그인 후 접근이 되는 게시판에 악의적인 코드가 삽입되어 있다.


가입해 로그인한 사람만 감염대상이다.


 

Decode


<iframe src="/bbs/member_ajax.php" width=0 height=0 border=0 style="display:none;"></iframe>




godame.org/data/mw.basic.comment.image/redlip (PE)


추가로 받아지는 녀석은 XOR CC로 암호화되어 있다.


http://cloudware.cf/lib/1.bin

http://cloudware.cf/lib/2.bin

http://nicelabkrbook.ml/guest.php



Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 9. 08:46


http://www.ytn.co.kr/_ln/0104_201506090705576013






Posted by viruslab

댓글을 달아 주세요

분석도구2015. 6. 8. 19:00



http://download.adamas.ai/dlbase/ebooks/VX_related/The%20Art%20of%20Computer%20Virus%20Research%20and%20Defense.pdf


악성코드, 그리고 분석가들 (17,000원)

http://www.yes24.com/24/goods/4676600?scode=032&OzSrank=8




첫 번째 이야기 인생시계 

두 번째 이야기 이직=작은 기적 

세 번째 이야기 5개월 간의 도스 교육 


가상인터뷰, 엔진 


네 번째 이야기 무림강호의 세계 1-Bagle(1부) 

다섯 번째 이야기 무림강호의 세계 1-Bagle(2부) 

여섯 번째 이야기 인증과 뼈아픈 오진 


가상인터뷰, 오진 


일곱 번째 이야기 분석팀 5형제와 64비트 바이러스 

여덟 번째 이야기 Bot과 Packer와의 전쟁 


가상인터뷰, Packer 


아홉 번째 이야기 교육생과 교육자 

열 번째 이야기 I'm ready to analyze polymorphic viruses(1부) 

열한 번째 이야기 I'm ready to analyze polymorphic viruses(2부) 

열두 번째 이야기 중복감염의 무서움-VIKING 

열세 번째 이야기 네버엔딩스토리-GameHack 

열네 번째 이야기 시스템 파일을 보호하라! (1부) 

열다섯 번째 이야기 시스템 파일을 보호하라! (2부) 

열여섯 번째 이야기 무림강호의 세계 2-Rustock 


가상인터뷰, 분석 시스템 


열일곱 번째 이야기 Virut! 그 끈질긴 악연 

열여덟 번째 이야기 시스템 무력화! 아직 끝나지 않았다 

열아홉 번째 이야기 의심파일을 찾아라! 

스무 번째 이야기 Gen 함수와 DownSizing 

스물한 번째 이야기 무림강호의 세계 3-MBRRootkit 


가상인터뷰, 가상화 


스물두 번째 이야기 중국 분석센터를 세워라!-적응편 

스물세 번째 이야기 중국 분석센터를 세워라!-에피소드편 

스물네 번째 이야기 중국 분석센터를 세워라!-분석편 

스물다섯 번째 이야기 메모리를 확인하라!-스팸메일러 

스물여섯 번째 이야기 7.7 DDoS 대란 

부록: 팀원들이 분석한 내용 


스물일곱 번째 이야기 이번엔 소스코드다!-Induc 

스물여덟 번째 이야기 무림강호의 세계 4-TDL3(1부) 


가상인터뷰, 분석가 


스물아홉 번째 이야기 무림강호의 세계 4-TDL3(2부) 


에필로그 


감사의 글 


2003~2009 악성코드 연대기


악성코드와 멀웨어 포렌식 (40,000원)

http://www.yes24.com/24/goods/7663340?scode=032&OzSrank=1





01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사

개요

실시간 대응 툴킷 제작

휘발성 자료 수집 방법

프로세스 정보 수집

열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기

서비스와 드라이버 파악

스케줄이 걸린 작업 파악

클립보드 내용 수집

동작 중인 윈도우 시스템에서 비휘발성 자료 수집

동작 중인 윈도우 시스템에서 포렌식용 저장소 매체 복제

동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존

윈도우용 사고 대응 도구 스위트

정리

참고 자료


02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사

개요

휘발성 자료 수집 방법

동작 중인 리눅스 시스템에서 비휘발성 자료 수집

정리


03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석

개요

메모리 포렌식 방법론

구식 메모리 분석 기법

윈도우 메모리 포렌식 도구

활성, 비활성, 은닉 프로세스

윈도우 메모리 포렌식 도구의 동작 원리

동작 중인 윈도우 시스템에서 프로세스 메모리 덤프와 분석

프로세스 캡처와 메모리 분석

리눅스 메모리 포렌식 도구

리눅스 메모리 포렌식 도구의 동작 원리

리눅스 시스템에서 프로세스 메모리 덤프와 분석

프로세스 메모리 캡처와 검사

정리

참고 자료


04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출

개요

보안에 문제가 생긴 윈도우 시스템을 포렌식 기법으로 검사

기능 분석: 윈도우 컴퓨터 복원

윈도우 시스템에서 멀웨어 발견과 추출

서비스, 드라이버 자동 실행 위치, 예약 작업 검사

윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법

정리


05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출

개요

리눅스 시스템에서 멀웨어 발견과 추출

정리


06장 법적인 고려 사항

개요

쟁점 형성

조사 권한의 근원

권한의 법적 제약

자료 수집을 위한 도구

국경을 넘는 자료 수집

법 집행 참여

증거 채택 가능성 높이기

참고 자료


07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석

개요

사례 연구: 화끈한 새 비디오!

파일 프로파일링 과정 개괄

실행 파일을 대상으로 작업

파일 유사성 지수 비교

파일 시그니처 파악과 분류

심볼과 디버그 정보

파일 난독화: 패킹과 암호화 파악

내부에 숨겨진 증거물을 다시 추출

정리

참고 자료


08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석

개요

파일 프로파일링 과정 개괄

리눅스 실행 파일을 대상으로 작업

파일 시그니처 파악과 분류

내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터

파일 난독화: 패킹과 암호화 신원 확인

내부에 숨겨진 증거물을 다시 추출

ELF 파일 구조

정리

참고 자료


09장 의심스런 프로그램 분석: 윈도우

개요

목표

악성 실행 프로그램을 검사하는 지침

환경 기준 수립

실행 전 준비: 시스템과 네트워크 감시

시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동

내부에 숨겨진 증거물을 다시 보기

악성코드 기능/목적 탐구와 검증

사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동 사후 자료 분석

정리


10장 의심스런 프로그램 분석: 리눅스

개요

분석 목표

실행 전 준비: 시스템과 네트워크 감시

난독화 해독: 멀웨어에서 방어막 제거

공격 기능 검토와 비교

추가적인 기능과 위협 범위 평가

다른 고려 사항

정리

참고 자료


악성코드 분석가의 비법서 (45,000원)

http://www.yes24.com/24/goods/6996136?scode=032&OzSrank=9




1 행동 익명화

___오니온 라우터(토르)

______비법 1-1 | 토르를 이용한 익명 브라우징

___토르를 이용한 악성코드 연구

______비법 1-2 | wget과 네트워크 클라이언트에 Torsocks 이용

______비법 1-3 | 파이썬으로 작성한 멀티플랫폼에서 토르 활성 다운로더

___토르의 단점

___프록시 서버와 프로토콜

______비법 1-4 | 무료 프록시를 통한 트래픽 포워딩

______비법 1-5 | 프록시 연결에 SSH 터널 사용

______비법 1-6 | Privoxy로 향상된 프라이버시를 지원하는 웹브라우징

___웹 기반 익명기

______비법 1-7 | Anonymouse.org 사이트를 이용한 익명 브라우징

___익명성을 보장받는 대안

___무선 전화 인터넷 연결

______비법 1-8 | 무선 전화 네트워크를 통한 인터넷 접속

___가상 사설망

______비법 1-9 | Anonymizer Universal을 통한 VPN 사용

___접속 식별과 흔적 남기지 않기


2 허니팟

___nepenthes 허니팟

______비법 2-1 | nepenthes를 이용한 악성코드 샘플 수집

______비법 2-2 | IRC 로깅을 통한 실시간 공격 감시

______비법 2-3 | 파이썬으로 HTTP를 통한 nepenthes 전송 수용

___Dionaea 허니팟으로 작업

______비법 2-4 | dionaea을 통한 악성코드 샘플 수집

______비법 2-5 | 파이썬을 이용한 HTTP 전송

______비법 2-6 | XMPP를 통한 실시간 이벤트 통지와 바이너리 공유

______비법 2-7 | dionea로 로깅한 공격 분석과 재현

______비법 2-8 | p0f를 이용한 원격 시스템 수동 식별

______비법 2-9 | sqlite와 gnuplot로 dionaea 공격 패턴 그래프 작성


3 악성코드 분류

___ClamAV를 활용한 분류

______비법 3-1 | 기존 ClamAV 시그니처 검사

______비법 3-2 | 개별 ClamAV 데이터베이스 생성

___YARA를 통한 분류

______비법 3-3 | ClamAV 시그니처를 YARA로 변환하는 방법

______비법 3-4 | YARA와 PEiD를 사용한 패커 식별법

______비법 3-5 | YARA를 이용한 악성코드 탐지

___도구 전체 통합

______비법 3-6 | 파이썬을 이용한 파일 타입 식별과 해시

______비법 3-7 | 파이썬으로 다중 AV 스캐너 사용

______비법 3-8 | 파이썬을 이용한 악성 PE 파일 탐지

______비법 3-9 | ssdeep을 이용한 유사 악성코드 검색

______비법 3-10 | ssdeep을 이용한 자가 변환 코드 탐지

______비법 3-11 | IDA와 BinDiff를 이용한 바이너리 비교


4 샌드박스와 다중 AV 스캐너

___공개 안티바이러스 스캐너

______비법 4-1 | VirusTotal을 이용한 파일 스캔

______비법 4-2 | Jotti를 이용한 파일 스캔

______비법 4-3 | NoVirusThanks를 이용한 파일 스캔

______비법 4-4 | 파이썬을 이용한 데이터베이스 지원 Multi-AV 업로더

___다중 안티바이러스 스캐너 비교

___공개 샌드박스를 이용한 분석

______비법 4-5 | ThreatExpert를 이용한 악성코드 분석

______비법 4-6 | CWsandbox를 이용한 악성코드 분석

______비법 4-7 | Anubis를 이용한 악성코드 분석

______비법 4-8 | Joebox용 AutoIT 스크립트 작성

______비법 4-9 | Joebox를 이용한 경로 기반 악성코드 정복

______비법 4-10 | Joebox를 이용한 프로세스 기반 악성코드 정복

______비법 4-11 | Joebox를 이용한 액티브 HTTP 프록시 설정

______비법 4-12 | 샌드박스 결과를 이용한 감염 흔적 스캐닝


5 도메인과 IP 주소 조사

___의심스러운 도메인 조사

______비법 5-1 | WHOIS를 이용해 도메인 조사

______비법 5-2 | DNS 호스트명 풀이

___IP 주소 조사

______비법 5-3 | IP WHOIS 레코드 얻기

___Passive DNS와 기타 도구로 조사

______비법 5-4 | BFK에서 Passive DNS 질의

______비법 5-5 | Robtex를 이용해 DNS 레코드 점검

______비법 5-6 | DomainTools를 이용한 IP 역검색 수행

______비법 5-7 | dig을 이용한 존 트랜스퍼 수행

______비법 5-8 | DNSMAP을 이용한 하위 도메인 무차별 대입

______비법 5-9 | 섀도우서버를 이용해 IP 주소로 ASN 매핑

______비법 5-10 | RBLs를 이용한 IP 평판 점검

___패스트 플럭스 도메인

______비법 5-11 | Passive DNS와 TTL을 이용한 패스트 플럭스 탐지

______비법 5-12 | 패스트 플럭스 도메인 추적

___지리 정보 매핑 IP 주소

______비법 5-13 | MaxMind, Matplotlib, Pygeoip를 이용한 고정 지도

______비법 5-14 | 구글 Charts API를 이용한 동적 맵


6 문서, 셸코드, URL

___자바스크립트 분석

______비법 6-1 | SpiderMonkey로 자바스크립트 분석

______비법 6-2 | Jsunpack을 이용한 자바스크립트 디코딩 자동화

______비법 6-3 | 스피드와 완벽성을 위한 Jsunpack-n 디코딩 최적화

______비법 6-4 | 브라우저 DOM 요소를 에뮬레이션한 익스플로잇 실행

___PDF 문서 분석

______비법 6-5 | pdf.py를 이용해 pdf 파일에서 자바스크립트 추출

______비법 6-6 | PDF 소프트웨어 버전을 속여 익스플로잇 실행

______비법 6-7 | Didier Stevens의 PDF 도구 사용

______비법 6-8 | PDF가 어떤 취약점을 사용하는지 찾기

______비법 6-9 | DiStorm을 이용한 셸코드 디스어셈블링

______비법 6-10 | libemu를 이용한 셸코드 에뮬레이팅

___악의적인 오피스 문서 분석

______비법 6-11 | OfficeMalScanner로 마이크로소프트 파일 분석

______비법 6-12 | DisVew와 MalHost-Setup으로 오피스 셸코드 디버깅

___네트워크 트래픽 분석

______비법 6-13 | Jsunpack으로 패킷 캡처에서 HTTP 파일 추출

______비법 6-14 | Jsunpack을 이용한 URI 관계 그래프 작성


7 악성코드 연구실

___네트워킹

______비법 7-1 | 연구실에서 TCP/IP 연결 라우팅

______비법 7-2 | 네트워크 트래픽 캡처와 분석

______비법 7-3 | INetSim을 이용한 인터넷 시뮬레이션

______비법 7-4 | Burp Suite을 이용한 HTTP/HTTPS 조작

___물리 표적

______비법 7-5 | 조 스테워트의 Truman 사용

______비법 7-6 | Deep Freeze를 이용해 물리 시스템 유지

______비법 7-7 | FOG를 이용한 디스크 복제와 이미징

______비법 7-8 | MySQL 데이터베이스를 이용해 FOG 작업 자동화


8 자동화

___분석 사이클

___파이썬을 이용한 자동화

______비법 8-1 | VirtualBox를 이용한 자동화된 악성코드 분석

______비법 8-2 | VirtualBox 디스크와 메모리 이미지 다루기

______비법 8-3 | VMware를 이용한 자동화된 악성코드 분석

___분석 모듈 추가

______비법 8-4 | 파이썬에서 TShark을 이용해 패킷 캡처

______비법 8-5 | 파이썬에서 INetSim을 이용해 네트워크 로그 수집

______비법 8-6 | Volatility를 이용한 메모리 덤프 분석

______비법 8-7 | 모든 샌드박스 조각을 함께 모으기

___기타 시스템

______비법 8-8 | ZeroWine과 QEMU를 이용한 자동화된 분석

______비법 8-9 | Sandboxie와 Buster를 이용한 자동화된 분석


9 동적 분석

______비법 9-1 | Process Monitor를 이용한 API 호출 로깅

______비법 9-2 | Regshot으로 변화 탐지

______비법 9-3 | 파일 시스템 변화 알림

______비법 9-4 | 레지스트리 변화 알림

______비법 9-5 | 테이블 디핑

______비법 9-6 | HandleDiff를 이용한 코드 인젝션

______비법 9-7 | 윈도우 파일 보호 기능을 해제하는 Bankpatch.C

___API 감시/후킹

______비법 9-8 | 마이크로소프트 Detours로 API 모니터 빌드

______비법 9-9 | API 모니터를 이용한 자식 프로세스 따라가기

______비법 9-10 | 프로세스, 스레드, 이미지 로드 이벤트 캡처

___데이터 보존

______비법 9-11 | 프로세스의 종료 방지

______비법 9-12 | 악성코드의 파일 삭제 차단

______비법 9-13 | 드라이버 로딩 차단

______비법 9-14 | 데이터 보존 모듈 사용

______비법 9-15 | ReactOS로 사용자 정의 커맨드 셸 생성


10 악성코드 포렌식

___슬루스 킷

______비법 10-1 | TSK를 이용한 변경 데이터 조사

______비법 10-2 | TSK를 사용해 은닉 파일과 디렉터리 탐지

______비법 10-3 | 마이크로소프트 오프라인 API를 이용한 은닉 레지스트리 데이터 찾기

___포렌식/사고 대응 수집 기법

______비법 10-4 | Poison Ivy의 잠금 파일 우회

______비법 10-5 | Conficker의 파일 시스템 ACL 제한 우회

______비법 10-6 | GMER를 이용한 rootkits 스캐닝

______비법 10-7 | IE의 DOM을 점검해 HTML 인젝션 공격 탐지 

___레지스트리 분석

______비법 10-8 | RegRipper 플러그인을 이용한 레지스트리 포렌식

______비법 10-9 | 가짜 PKI 인증서 설치 탐지

______비법 10-10 | 레지스트리 내 악성코드 데이터 흔적 조사


11 악성코드 디버깅

___디버거를 이용한 작업

______비법 11-1 | 프로세스 열기와 연결

______비법 11-2 | 셸코드 분석용 JIT 디버거 설정

______비법 11-3 | 디버거 GUI에 익숙해지기

______비법 11-4 | 프로세스 메모리와 자원 탐색

______비법 11-5 | 프로그램 실행 제어

______비법 11-6 | 중단점 설정과 중단점 잡기

______비법 11-7 | 조건부 로그 중단점 이용

___Immunity 디버거의 파이썬 API

______비법 11-8 | 파이썬 스크립트와 PyCommands를 이용한 디버깅

______비법 11-9 | 바이너리 파일에서 셸코드 탐지

______비법 11-10 | SILENTBANKER'S API 후킹 조사

___WinAppDbg 파이썬 디버거

______비법 11-11 | WinAppDbg 도구를 이용한 프로세스 메모리 조작

______비법 11-12 | WINAPPDBG를 이용한 파이썬 API 모니터 설계


12 역난독화

___공통 알고리즘 디코딩

______비법 12-1 | 파이썬을 이용한 XOR 알고리즘 리버스 엔지니어링

______비법 12-2 | yaratize를 이용해 XOR로 인코딩된 데이터 탐지

______비법 12-3 | 특수 문자를 이용한 base64 디코딩

___복호화

______비법 12-4 | 캡처된 패킷에서 암호화된 데이터 격리

______비법 12-5 | SnD 리버싱 도구, FindCrypt, Kanal로 암호 검색

______비법 12-6 | Zynamics BinDiff를 이용한 OpenSSL 심볼 포팅

______비법 12-7 | PyCrypto를 이용한 파이썬 데이터 복호화

___악성코드 언패킹

______비법 12-8 | 패킹된 악성코드에서 OEP 찾기

______비법 12-9 | LordPE를 이용한 프로세스 메모리 덤프

______비법 12-10 | ImpREC를 이용한 임포트 테이블 리빌드

___언패킹 리소스

___디버거 스크립트

______비법 12-11 | 도메인 생성 알고리즘 크래킹

______비법 12-12 | 파이썬과 x86emu를 이용한 문자열 디코딩


13 DLL을 이용한 작업

______비법 13-1 | DLL 익스포트 목록화

______비법 13-2 | rundll32.exe를 이용한 DLL 실행

______비법 13-3 | 호스트 프로세스 제한 우회

______비법 13-4 | rundl32ex를 이용한 원격 DLL 익스포트 호출

______비법 13-5 | LOADDLL.EXE를 이용한 DLL 디버깅

______비법 13-6 | DLL 진입점에 중단점 지정

______비법 13-7 | 윈도우 서비스로 DLL 실행

______비법 13-8 | DLL을 독립 실행 파일로 변환


14 커널 디버깅

___원격 커널 디버깅

___로컬 커널 디버깅

___소프트웨어 요구 사항

______비법 14-1 | LiveKd를 이용한 로컬 디버깅

______비법 14-2 | 커널 디버그 부트 스위치 활성화

______비법 14-3 | 게스트 워크스테이션 디버깅(윈도우 환경)

______비법 14-4 | Parallels 게스트 디버깅(맥 OS X 환경)

______비법 14-5 | WINDBG 명령과 제어 개요

______비법 14-6 | 프로세스와 프로세스 컨텍스트 탐색

______비법 14-7 | 커널 메모리 탐색

______비법 14-8 | 드라이버 로드에 중단점 지정

______비법 14-9 | OEP로 드라이버 언패킹

______비법 14-10 | 드라이버 덤프와 리빌드

______비법 14-11 | WinDbg 스크립트를 이용한 루트킷 탐지

______비법 14-12 | IDA Pro를 이용한 커널 디버깅


15 Volatility에 의한 메모리 포렌식

___메모리 수집

______비법 15-1 | MoonSols 윈도우 메모리 툴킷을 이용한 메모리 덤프

______비법 15-2 | F-Response를 이용한 원격, 읽기전용 메모리 수집

______비법 15-3 | 가상 머신 메모리 파일에 접근

______비법 15-4 | Nutshell의 Volatility

______비법 15-5 | 메모리 덤프의 프로세스 조사

______비법 15-6 | psscan을 이용해 DKOM 탐지

______비법 15-7 | csrss.exe의 대체 프로세스 목록 탐색

______비법 15-8 | 프로세스 컨텍스트 속임수 인지


16 메모리 포렌식: 코드 인젝션과 추출

___DLL 조사

______비법 16-1 | 로드된 의심스러운 DLL 찾기

______비법 16-2 | ldr_Modules을 이용해 언링크된 DLL 탐지

___코드 인젝션과 VAD

______비법 16-3 | 가상 주소 설명자 탐색

______비법 16-4 | 페이지 보호 해석

______비법 16-5 | 프로세스 메모리에 있는 증거 찾기

______비법 16-6 | malfind와 YARA를 이용해 인젝션된 코드 확인

___바이너리 재구성

______비법 16-7 | 메모리에서 실행 이미지 리빌드

______비법 16-8 | impscan을 이용해 임포트된 함수를 스캐닝

______비법 16-9 | 의심스러운 커널 모듈 덤프


17 메모리 포렌식: 루트킷

______비법 17-1 | IAT 후킹 탐지

______비법 17-2 | EAT 후킹 탐지

______비법 17-3 | 인라인 API 후킹 탐지

______비법 17-4 | IDT 후킹 탐지

______비법 17-5 | 드라이버 IRP 후킹 탐지

______비법 17-6 | SSDT 후킹 탐지

______비법 17-7 | ssdt_ex를 이용한 대부분의 작업 자동화

______비법 17-8 | 커널 스레드에서 분리된 루트킷 탐지

______비법 17-9 | 시스템 전역 알림 루틴 확인

______비법 17-10 | SVSCAN을 이용해 악성 서비스 프로세스 찾기

______비법 17-11 | mutantscan을 이용한 뮤텍스 객체 스캐닝


18 메모리 포렌식: 네트워크와 레지스트리

______비법 18-1 | 소켓과 연결 객체 조사

______비법 18-2 | Zeus가 남긴 네트워크 데이터 분석

______비법 18-3 | 은폐된 TCP /IP 활동 시도 탐지

______비법 18-4 | 원시 소켓과 무작위 NIC 탐지

___레지스트리 분석

______비법 18-5 | 메모리 레지스트리 도구를 이용한 레지스트리 잔여 데이터 분석

______비법 18-6 | 최근에 쓴 타임스탬프순으로 키 정렬

______비법 18-7 | RegRipper와 함께 Volatility 사용


실전 악성코드와 멀웨어 분석 (45,000원)

http://www.yes24.com/24/goods/11185291?scode=032&OzSrank=7




______0장 악성코드 분석 입문


___1부 기초 분석

______1장 기초 정적 분석 기법

______2장 가상머신에서의 악성코드 분석

______3장 기초 동적 분석


___2부 고급 정적 분석

______4장 X86 디스어셈블리 속성 과정

______5장 IDA Pro

______6장 어셈블리어에서의 C 코드 구조 식별

______7장 악의적인 윈도우 프로그램 분석


___3부 고급 동적 분석

______8장 디버깅

______9장 OllyDbg

______10장 WinDbg를 이용한 커널 디버깅


___4부 악성코드의 기능

______11장 악성코드의 행위 특성

______12장 위장 악성코드 실행

______13장 데이터 인코딩

______14장 악성코드 기반 네트워크 시그니처


___5부 안티리버싱

______15장 안티디스어셈블리

______16장 안티디버깅

______17장 안티가상머신 기법

______18장 패커와 언패킹


___6부 특별한 주제

______19장 셸코드 분석

______20장 C++ 분석

______21장 64비트 악성코드


부록

______부록 A 주요 윈도우 함수

______부록 B 악성코드 분석 도구

______부록 C 실습 문제 풀이


Cuckoo 샌드박스를 활용한 악성코드 분석

http://www.yes24.com/24/goods/13363331?scode=032&OzSrank=5




1장 쿠쿠 샌드박스를 이용한 악성코드 자동 분석 시작

악성코드 분석 방법

샌드박스의 기본 이론

악성코드 분석 랩

쿠쿠 샌드박스

쿠쿠 샌드박스 설치

___하드웨어 요구 사양

___호스트 운영체제 준비

___요구 사항

___우분투에 파이썬 설치

___호스트 운영체제에 쿠쿠 샌드박스 설정

___게스트 운영체제 준비

______네트워크 구성

______호스트 운영체제와 게스트 운영체제의 공유 폴더 설정

___사용자 생성

쿠쿠 샌드박스 설치

cuckoo.conf

[machinemanager].conf

processing.conf

reporting.conf

정리


2장 쿠쿠 샌드박스를 이용한 악성코드 샘플 분석

쿠쿠 시작

쿠쿠 샌드박스에 악성코드 샘플 등록

악성 워드 문서 등록

악성 PDF 문서 등록: aleppo_plan_cercs.pdf

악성 엑셀 문서 등록: CVE-2011-0609_XLS-SWF-2011-03-08_

crsenvironscan.xls

악성 URL 등록: http://youtibe.com

악성 URL 등록: http://ziti.cndesign.com/biaozi/ fdc/page_07.htm

바이너리 파일 등록: Sality.G.exe

쿠쿠 샌드박스를 이용한 메모리 포렌식: 메모리 덤프 기능 사용

Volatility를 이용한 추가 메모리 포렌식

___Volatility 사용

정리


3장 쿠쿠 샌드박스 결과 분석

처리 모듈

쿠쿠 샌드박스와 Volatility, Yara를 이용한 APT 공격 분석

정리


4장 쿠쿠 샌드박스 보고서

HTML 포맷의 기본 보고서 생성

MAEC 보고서 생성

쿠쿠의 데이터 분석 보고서를 다른 포맷으로 내보내기

정리


5장 쿠쿠 샌드박스의 팁과 트릭

VM 탐지에 대비한 쿠쿠 샌드박스 강화

Cuckooforcanari: 말테고 프로젝트와 쿠쿠 샌드박스 통합

___말테고 설치

쿠쿠 MX로 이메일 첨부 파일 자동 검사

정리


Reverse Engineering 리버스엔지니어링 : 역분석 구조와 원리

http://www.yes24.com/24/goods/3056480?scode=032&OzSrank=1




1장 리버스엔지니어링에 대하여

1.1 리버스엔지니어링이란 무엇인가? 

1.2 크래커에 의한 피해 사례, 개발자들이 주의할 부분 

1.3 리버스엔지니어링의 전망과 취업 

1.4 리버스엔지니어링 관련 법률 

1.5 라이선스 정책에 대한 정리 


2장 리버스엔지니어링을 위한 기초 지식

2.1 올리디버거(OllyDBG) 설정 및 사용법 

2.2 Jump구 문제어 문제 풀이 

2.3 CPU 레지스터와 어셈블리 언어, 진수 변환 

2.3.1 진수 변환 | 2.3.2 CPU 레지스터 | 2.3.3 어셈블리 언어 

2.3.4 상황별 어셈블리 명령어 

2.4 WinApi 분석을 통한 문제풀이

2.5 매뉴얼 Unpack과 Back To User 모드 

2.6 키젠(KeygenMe) 문제 풀이를 통한 스택과 콜링컨벤션의 이해 

2.7 KeyFile 체크 문제 풀이와 바이너리 수정 

2.8 nag 제거 문제를 통한 PE 구조의 이해 


3장 리버스엔지니어링 관련 툴

3.1 툴 사용하기 

3.2 시스템 모니터링 툴 

3.2.1 Filemon | 3.2.2 Regmon | 3.2.3 TcpView 

3.2.4 Procexp 

3.3 디스어셈블러 

3.3.1 IDA 설치 | 3.3.2 메뉴 구성과 IDA 사용 방법 | 3.3.3 디버깅 

3.4 IDA에서 for문 분석하기 

3.5 IDA에서 if문 분석하기 

3.6 크로스레퍼런스 기능과 지뢰찾기 분석 

3.7 디컴파일러 

3.7.1 플래쉬 디컴파일러(sothink SWF Decompiler) 

3.7.2 닷넷 프로그램 디컴파일러(Reflector) 

3.7.3 델파이 디컴파일러(DeDe) | 3.7.4 자바 디컴파일러(JAD) 

3.8 메모리 패치 

3.8.1 티서치 | 3.8.2 치트엔진 

3.9 바이너리 분석 

3.9.1 PEiD | 3.9.2 리소스해커 | 3.9.3 Strings 

3.9.4 Dependency Walker와 DumpBin 

3.10 언패커 

3.10.1 Universal Extractor | 3.10.2 VMUnpacker 

3.11 리빌더 

3.12 헥스에디터 

3.13 루트킷 탐지 

3.13.1 GMER | 3.13.2 IceSword 

3.14 네트워크 모니터링 툴 

3.15 가상 머신 

3.15.1 VMWare | 3.15.2 VirtualBox 


4장 악성 코드 분석

4.1 악성 코드란? 

4.1.1 파일 바이러스 | 4.1.2 웜 | 4.1.3 트로이목마 

4.1.4 백도어 | 4.1.5 스파이웨어 

4.2 악성 코드 감염 경로 

4.2.1 메신저에서의 파일 전송 | 4.2.2 이메일에서의 파일 다운 

4.2.3 의심스러운 사이트에서의 ActiveX 설치 

4.2.4 P2P 사이트에서의 파일 다운 | 4.2.5 인터넷에서 감염된 파일 다운 

4.3 악성 코드 분석(IRC Bot) 


5장 안티 디버깅

5.1 안티 디버깅이란? 

5.2 안티 디버깅의 종류 

5.3 IsDebuggerPresent 

5.4 Microsoft Visual Studio 2005에서 컴파일 및 실행 

5.5 Microsoft Visual Studio 6.0에서 컴파일 및 실행 

5.6 IsDebuggerPresent 우회 방법 

5.7 IsDebugged 

5.8 IsDebugged 우회 방법 

5.9 NtGlobalFlags 

5.10 NtGlobalFlags 우회 방법 

5.11 CheckRemoteDebuggerPresent 

5.12 CheckRemoteDebuggerPresent 우회 방법 

5.13 FindWindow 

5.14 FindWindow 우회 방법


The IDA Pro Book (2nd Edition) 한국어판

http://www.yes24.com/24/goods/7374471?scode=032&OzSrank=1



1부 IDA 소개


1장 디스어셈블리 소개

___디스어셈블리 이론

___디스어셈블리란?

___디스어셈블리가 필요한 이유

___디스어셈블리의 방법


2장 리버싱과 디스어셈블리 툴

___분류 툴

___요약 툴

___심층 조사 툴


3장 IDA 프로 배경 지식

___헥스레이 사의 저작권 침해 대책

___IDA Pro의 획득

___IDA 지원 사이트

___IDA 설치

___IDA 사용자 인터페이스 고찰


2부 IDA 기본 사용법


4장 IDA 시작

___IDA 시작

___IDA 데이터베이스 파일

___IDA 데스크탑 소개

___초기 분석 과정 중 데스크탑의 진행 상황

___IDA 데스크탑 팁과 트릭

___버그 보고


5장 IDA 데이터 디스플레이

___기본 IDA 디스플레이

___보조 디스플레이 화면

___기타 IDA 디스플레이


6장 디스어셈블리 살펴보기

___기본 탐색 기능

___스택 프레임

___데이터베이스 검색


7장 디스어셈블리 다루기

___이름과 이름 지정

___IDA의 주석

___기본 코드 변환


8장 데이터 타입과 데이터 구조

___데이터 구조 파악

___IDA 구조체 생성

___구조체 템플릿 활용

___신규 구조체 가져오기

___표준 구조체 활용

___IDA TIL 파일

___C++ 리버스 엔지니어링 기초


9장 상호 참조와 그래프

___상호 참조

___IDA 그래프


10장 여러 가지 IDA

___콘솔 모드 IDA

___IDA 일괄처리 모드 사용

___3부 IDA 고급 사용법


11장 IDA 커스터마이징

___환경설정 파일

___기타 IDA 환경설정 파일 옵션


12장 FLIRT 시그니처로 라이브러리 인식

___고속 라이브러리 식별과 인식 기술

___FLIRT 시그니처 적용

___FLIRT 시그니처 파일 생성


13장 IDA 심층 탐구

___추가된 함수 정보

___loadint로 미리 정의된 주석 보강


14장 바이너리 패칭과 IDA 제약 사항

___혼란을 야기하는 메뉴

___IDA 출력 파일과 패치


15장 IDC 스크립팅

___기본적인 스크립트 실행

___IDC 언어

___IDC 스크립트 단축키

___유용한 IDC 함수

___IDC 스크립트 예제

___IDAPython 스크립트 예제


16장 IDA SDK

___SDK 소개

___IDA API


17장 IDA 플러그인 아키텍처

___플러그인 개발

___플러그인 작성

___플러그인 설치

___플러그인 환경설정

___IDC 확장

___플러그인 사용자 인터페이스 옵션

___스크립트 플러그인


18장 바이너리 파일과 IDA 로더 모듈

___알지 못하는 파일 분석

___수작업으로 PE 파일 로딩

___IDA 로더 모듈

___IDA 로더 작성

___다른 로더 전략

___스크립트 로더 작성


19장 IDA 프로세서 모듈

___파이썬 바이트 코드

___파이썬 인터프리터

___프로세서 모듈 빌드

___프로세서 모듈 아키텍처

___프로세서 모듈 스크립트


5부 실제 애플리케이션


20장 다양한 컴파일러

___점프 테이블과 switch문

___RTTI 구현

___디버그 바이너리와 릴리스 바이너리

___기타 호출 규약


21장 난독화된 코드 분석

___안티정적 분석 기법

___안티동적 분석 기법

___IDA를 이용한 정적 바이너리 역난독화

___가상 머신 기반 난독화


22장 취약점 분석

___신규 취약점 발견

___IDA로 취약점을 발견한 후

___IDA와 취약점 개발 절차

___셸코드 분석


23장 실제 IDA 플러그인

___IDAPython

___collabREate

___ida-x86emu

___MyNav


6부 IDA 디버거


24장 IDA 디버거

___디버거 시작

___디버거 디스플레이

___프로세스 제어

___디버깅 자동화


25장 디스어셈블러/디버거 통합

___배경

___IDA 데이터베이스와 디버거

___난독화 코드 디버깅

___IdaStealth

___예외 처리


26장 추가 디버거 기능

___IDA를 이용한 원격 디버깅

___Bochs 활용 디버깅

___Appcall


부록 A IDA 5.0 무료 버전 사용

___IDA 무료 버전 제약 사항

___IDA 무료 버전 사용


리버싱 : 리버스 엔지니어링 비밀을 파헤치다

http://www.yes24.com/24/goods/3386676?scode=032&OzSrank=5




1부 리버싱 101 


1장 기초 

리버스 엔지니어링 

소프트웨어 리버스 엔지니어링: 리버싱 

리버싱 적용 

- 보안 관련 리버싱 

-- 악성코드 소프트웨어 

-- 암호 알고리즘 리버싱 

-- 디지털 저작권 관리 

-- 프로그램 바이너리 감사 

- 소프트웨어 개발에서의 리버싱 

-- 소프트웨어 간의 상호 운용 

-- 경쟁 제품 분석 

-- 소프트웨어의 품질과 안정성 측정 

로우레벨 소프트웨어 

- 어셈블리 언어 

- 컴파일러 

- 가상 머신과 바이트 코드 

- 운영체제 

리버싱 절차 

- 시스템 레벨 리버싱 

- 코드 레벨 리버싱 

사용 툴 

- 시스템 모니터링 툴 

- 디스어셈블러 

- 디버거 

- 디컴파일러 

리버싱은 합법적인 작업인가 

- 상호 운용성 

- 경쟁 

- 저작권법 

- 영업 비밀과 특허권 

- 디지털 밀레니엄 저작권법 

- DMCA 사례 

- 사용권 계약 

예제 코드와 툴 

정리 


2장 로우레벨 소프트웨어 

하이레벨 관점 

- 프로그램 구조 

-- 모듈 

-- 공통 구성 요소 

- 데이터 처리 

-- 변수 

-- 사용자 정의 데이터 구조체 

-- 리스트 

- 제어 흐름 

- 하이레벨 언어 

--

-- C++ 

-- 자바 

-- C# 

로우레벨 관점 

- 로우레벨 데이터 처리 

-- 레지스터 

-- 스택 

-- 힙 

-- 실행 데이터 섹션 

- 제어 흐름 

어셈블리 언어 입문 

- 레지스터 

- 플래그 

- 명령 포맷 

- 기본 명령 

-- 데이터 이동 

-- 산술 연산 

-- 비교 연산 

-- 조건 분기 

-- 함수 호출 

- 코드 예 

컴파일러 기초 

- 컴파일러란 

- 컴파일러 아키텍처 

-- 프런트엔드 

-- 중간 표현 

-- 최적화기 

-- 백엔드 

- 리스팅 파일 

- 사용 컴파일러 

실행 환경 

- 소프트웨어 실행 환경(가상 머신) 

-- 바이트 코드 

-- 인터프리터 

-- Just-in-Time 컴파일러 

-- 리버싱 전략 

- 최신 프로세서에서의 하드웨어 실행 환경 

-- Intel NetBurst 

-- μops(Micro-Ops) 

-- 파이프라인 

-- 분기 예측 

정리 


3장 윈도우 기초 

컴포넌트와 기본 아키텍처 

- 간략한 역사 

- 특징 

- 지원 하드웨어 

메모리 관리 

- 가상 메모리와 페이징 

-- 페이징 

-- 페이지 폴트 

- 워킹 셋 

- 커널 메모리와 유저 메모리 

- 커널 모드 공간 

- 섹션 객체 

- VAD 트리 

- 유저 모드 메모리 할당 

- 메모리 관리 API 

객체와 핸들 

- 네임드 객체 

프로세스와 스레드 

- 프로세스 

- 스레드 

- 컨텍스트 스위칭 

- 동기화 객체 

- 프로세스 초기화 과정 

애플리케이션 프로그래밍 인터페이스 

- Win32 API 

- 네이티브 API 

- 시스템 콜 메커니즘 

실행 포맷 

- 기본 개념 

- 이미지 섹션 

- 섹션 정렬 

- 동적 링크 라이브러리 

- 헤더 

- 임포트와 익스포트 

- 디렉터리 

입력과 출력 

- I/O 시스템 

- Win32 서브시스템 

-- 객체 관리자 

구조화된 예외 처리 

정리 


4장 리버싱 툴 

다양한 리버싱 방법 

- 오프라인 코드 분석(Dead-Listing) 

- 라이브 코드 분석 

디스어셈블러 

- IDA Pro 

- ILDasm 

디버거 

- 유저 모드 디버거 

-- OllyDbg 

-- WinDbg를 이용한 유저 모드 디버깅 

-- IDA Pro 

-- PEBrowse Professional Interactive 

- 커널 모드 디버거 

-- WinDbg를 이용한 커널 모드 디버깅 

-- Numega SoftICE 

-- 가상 머신에서의 커널 디버깅 

디컴파일러 

시스템 모니터링 툴 

패치 툴 

- Hex Workshop 

기타 리버싱 툴 

- 실행 이미지 덤프 툴 

-- DUMPBIN 

-- PEView 

-- PEBrowse Professional 

정리 


2부 리버싱 응용 


5장 리버싱 실전 

리버싱과 상호운용성 

기본 원칙 

문서화되지 않은 API를 찾는 방법 

- 찾고자 하는 것 

사례 연구: NTDLL.DLL의 Generic Table API 

- RtlInitializeGenericTable 

- RtlNumberGenericTableElements 

- RtlIsGenericTableEmpty 

- RtlGetElementGenericTable 

-- 셋업과 초기화 

-- 로직과 구조 

-- 검색 루프 1 

-- 검색 루프 2 

-- 검색 루프 3 

-- 검색 루프 4 

-- 소스코드 추출 

- RtlInsertElementGenericTable 

-- RtlLocateNodeGenericTable 

-- RtlRealInsertElementWorker 

-- Splay 트리 

- RtlLookupElementGenericTable 

- RtlDeleteElementGenericTable 

- 분석한 내용 종합 

정리 


6장 파일 포맷 분석 

Cryptex 

Cryptex 사용 

Cryptex 리버싱 

패스워드 검증 과정 

- "Bad Password" 메시지 잡아내기 

- 패스워드 변환 알고리즘 

- 패스워드 해싱 

디렉터리 구조 

- 디렉터리 처리 코드 분석 

- 파일 엔트리 분석 

디렉터리 구조 덤프 

파일 추출 과정 

- 파일 목록 검색 

- 파일 복호화 

- 부동소수점 연산 

- 복호화 루프 

- 해시 값 검증 

정리 

좀 더 자세히 

결론 


7장 프로그램 바이너리 감사 

문제점 정의 

보안 취약점 

- 스택 오버플로우 

-- 간단한 스택 보안 취약점 

-- 내부 구현 

-- 스택 검사 

-- 비실행 가능 메모리 

- 힙 오버플로우 

- 문자열 필터 

- 정수 오버플로우 

-- 사용자 입력 정수에 대한 산술 연산 

- 형 변환 에러 

사례: IIS 인덱싱 서비스 보안 취약점 

- CVariableSet::AddExtensionControlBlock 

- DecodeURLEscapes 

정리 


8장 악성코드 리버싱 

악성코드의 종류 

- 바이러스 

- 웜 

- 트로이 목마 

- 백도어 

- 모바일 코드 

- 애드웨어/스파이웨어 

스틱키 소프트웨어 

미래의 악성코드 

- 정보 탈취 웜 

- 바이오스/펌웨어 악성코드 

악성코드의 목적 

악성코드 취약점 

다형성 

변종 

안전한 리버싱 환경 구축 

Backdoor.Hacarmy.D 

- 실행 파일 언패킹 

- 최초 실행 

- 설치 

- 네트워크 연결 

- 서버에 연결 

- 채널에 접속 

- 백도어와 통신 

- SOCKS4 서버 실행 

- 자체 제거 

Backdoor.Hacarmy.D: 명령 레퍼런스 

정리 


3부 크래킹 


9장 저작권 침해와 불법 복사 방지 

저작권 

사회적 측면 

소프트웨어 저작권 침해 

- 문제 정의 

- 보안 결함 

- 필요 조건 

- 이론적으로 크랙이 불가능한 모델 

보호 유형 

- 매체 기반 보호 

- 시리얼 번호 

- 질의 응답과 온라인 인증 

- 하드웨어 기반의 보호 

- 서비스로서의 소프트웨어 

진보된 보호 개념 

- 크립토 프로세서 

디지털 저작권 관리 

- DRM 모델 

-- 윈도우 미디어 저작권 관리자 

-- 시큐어 오디오 패스 

워터 마크 

신뢰 컴퓨팅 

복사 방지 기술 공격 

정리 


10장 안티 리버싱 기술 

안티 리버싱이 필요한 이유 

기본적인 안티 리버싱 방법 

심볼 정보 제거 

코드 암호화 

안티 디버거 기술 

- 디버거 기본 

- IsDebuggerPresent API 

- SystemKernelDebuggerInformation 

- 싱글 스텝 인터럽트를 이용한 SoftICE 탐지 

- 트랩 플래그 

- 코드 체크섬 

안티 디스어셈블러 

- 선형 스윕 디스어셈블러 

- Recursive Traversal 디스어셈블러 

- 적용 

코드 난독화 

제어 흐름 변환 

- Opaque Predicates 

- 안티 디컴파일러 

- Table Interpretation 

- 인라인닝과 아웃라이닝 

- 인터리빙 코드 

- 순서 변환 

데이터 변환 

- 변수 인코딩 

- 배열 재구성 

정리 


11장 보호 기술 파괴 

패치 

Keygen 

키 생성 알고리즘 추출 

고급 크래킹: Defender 

- Defender의 초기화 루틴 리버싱 

- 복호화된 코드 분석 

- 사라진 SoftICE 

- 스레드 리버싱 

- "Killer" 스레드 무력화 

- KERNEL32.DLL 로딩 

- 함수 재암호화 

- 엔트리 포인트로 다시 돌아가서 

- 프로그램 파라미터 파싱 

- 사용자 이름 처리 

- 사용자 정보 검증 

- 코드 복호화 

- Defender에 대한 무작위 대입 

Defender의 보호 기술 

- 함수 레벨의 암호화 

-- 상대적으로 강력한 암호 블록 체인 

-- 재 암호화 

- 애플리케이션/운영체제와의 인터페이스 난독화 

- 프로세서 타임 스탬프 검증 스레드 

- 실행 시에 복호화 키 생성 

-- 상호 의존 키 

-- 사용자 입력 기반의 복호화 키 

- 인라이닝 

정리 


4부 디스어셈블리 너머 


12장 닷넷 리버싱 

기반 지식 

닷넷 기본 

- 매니지드 코드 

- 닷넷 프로그래밍 언어 

- 공통 타입 시스템 

중간 언어 

- 평가 스택 

- 활성화 레코드 

- IL 명령 

- IL 코드 샘플 

-- Counting Items 

-- 링크드 리스트 샘플 

디컴파일러 

난독기 

- 심볼 이름 변경 

- 제어 흐름 변경 

- 디컴파일과 디스어셈블리 차단 

난독화된 코드 리버싱 

- XenoCode 

- Preemptive Solutions의 DotFuscator 

- Remotesoft 난독기와 링커 

- Remotesoft Protector 

- 어셈블리 프리컴파일 

- 어셈블리 암호화 

정리 


13장 디컴파일 

네이티브 코드 디컴파일 

전형적인 디컴파일러의 구조 

중간 표현 

- 표현식과 표현식 트리 

- 제어 흐름 그래프 

프론트엔드 

- 의미 분석 

- 제어 흐름 그래프 생성 

코드 분석 

- 데이터 흐름 분석 

-- 단일 정적 할당 

-- 데이터 전달 

-- 레지스터 변수 구별 

-- 데이터 타입 전달 

- 타입 분석 

-- 기본 데이터 타입 

-- 복잡한 데이터 타입 

- 제어 흐름 분석 

- 라이브러리 함수의 구별 

백엔드 

실제 IA-32 디컴파일러 

정리 


리버싱 윈도우 (48,000원)

http://www.yes24.com/24/goods/9400146?scode=032&OzSrank=3



리버싱 핵심 원리 : 악성 코드 분석가의 리버싱 이야기 (48,000원)

http://www.yes24.com/24/goods/7529742?scode=032&OzSrank=1






Posted by viruslab

댓글을 달아 주세요

보안관련소식2015. 6. 8. 17:21


http://blog.naver.com/ocnblog/220379591143




Posted by viruslab

댓글을 달아 주세요

2015. 6. 8. 17:06

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015. 6. 8. 12:56


기존 PlugX 조직이 쓰던 기법인데.. 흥미롭다.






Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 8. 11:06


http://viruslab.tistory.com/4288


http://viruslab.tistory.com/4275


한수원 John 은 계속 John 계정을 쓰고 있다.






Posted by viruslab

댓글을 달아 주세요

2015. 6. 5. 18:24

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015. 6. 5. 11:20


다수의 모바일(http://m.xxx.com) 웹 페이지를 통한 안드로이드 APK Drive by download 가 기승이다.


APK가 스미싱으로도 많이 퍼지고 있지만 웹을 통해서도 퍼지고 있다.


안드로이드 이용자는 웹 접속시 다운로드된 APK 앱을 절대로 수동 설치해서는 안된다.




모바일 뱅킹 이용자를 노리고 있다.









Posted by viruslab

댓글을 달아 주세요

보안관련소식2015. 6. 5. 08:58



http://news.sbs.co.kr/news/endPage.do?news_id=N1003010333&plink=ORI&cooper=NAVER




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 4. 17:13



전초기지



Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 4. 17:03


6월 움직임이 계속 포착되고 있다.


http://www.ytn.co.kr/_ln/0101_201505281134423570




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 4. 16:18


http://viruslab.tistory.com/3553


허접..




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 4. 15:31


6월이다.


http://www.yonhapnews.co.kr/bulletin/2015/06/04/0200000000AKR20150604094700014.HTML?from=search


http://news.kmib.co.kr/article/view.asp?arcid=0009512878&code=61111111&cp=nv




Posted by viruslab

댓글을 달아 주세요

2015. 6. 4. 14:09

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2015. 6. 3. 19:05

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015. 6. 3. 13:03


http://www.newstown.co.kr/news/articleView.html?idxno=208565


해당 파일은 현재 다음 주소에서 설치되고 있다.


nufl1l2kv0ot4pznqm.**/mpathizeprincipl.exe


https://www.virustotal.com/ko/file/f9bcfe82dc760ec198253e7fa707b00e8c2600fc7e4183e52042da04dc69d074/analysis/




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 3. 11:31







Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 3. 10:36


HWP 취약점 공격이 다시 확인됐다. 도메인과 IP주소가 다르게 붙는다.





http://viruslab.tistory.com/4301



mail4.powerwealth.biz

login.hansoftupdate.com




http://viruslab.tistory.com/3863


http://viruslab.tistory.com/3874


http://viruslab.tistory.com/3991


http://viruslab.tistory.com/4001



악성파일 로딩에 잔머리 좀 굴렸다.




시만텍 모듈을 이용해서 위장


C:\Documents and Settings\All Users\Application Data\LDVP\svchost.exe





Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 6. 2. 17:05


문제가 커진 후에 진화하긴 너무 늦을 수 있다.


보안카드를 카메라로 스캔하라고 유도하는 형태에 주의가 필요하다.




Posted by viruslab

댓글을 달아 주세요

2015. 6. 1. 13:06

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015. 6. 1. 09:31


KBS 방송 내용을 활용했다.




Posted by viruslab

댓글을 달아 주세요

보안관련소식2015. 5. 29. 12:50


http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150529_0013694598&cID=10102&pID=10100




Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 5. 29. 09:48


사행성 도박 사이트에서 뿌리는 파일..

수사가 필요할 것 같아 공개




hxxp://asd678.com/down/sb4.exe 
hxxp://asd678.com/down/sa44.exe
hxxp://asd678.com/a/down/down1.zip




Posted by viruslab

댓글을 달아 주세요

2015. 5. 28. 14:09

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015. 5. 26. 17:55


잔머리 하나는..









Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2015. 5. 26. 16:51


전자금융사기 사이트에서 가짜 인증서 화면을 띄운다.






















Posted by viruslab

댓글을 달아 주세요