일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 슬퍼유
- Multimedia
- ftz
- 생활코딩
- 2022시작
- html
- 네트워크 보안
- blkls
- network
- 네트워크관리사2급
- 윈도우 프로세스 종류
- 정보처리기사 필기 합격
- slack space
- 디지털포렌식 with CTF
- memory
- Multimeida
- pythonchallenge
- CTF-D
- 생활코딩 html
- N0Named
- Window process
- 디지털포렌식
- 는 하지마...
- 윈도우 프로세스
- disk
- 실기
- ZIP 파일구조
- 24시간의 전사
- vinetto
- 포렌식
- Today
- Total
목록전체 글 (253)
ssoL2 TISTORY
보호되어 있는 글입니다.
avicap32.dll : Team viewer Trojan Backdoor
보호되어 있는 글입니다.
Origin Entry Point 실제 시작 주소임 UPX로 패킹되면 'PUSHAD'로 레지스터 백업하고 'POPAD'로 다시 복원시켜서 언팩함 그리고 OEP 위치로 JMP하는 것 물론 PUSHAD POPAD를 사용하지 않는 PACKING도 존재
다운로드부터 쉽지 않음 ;;;;;;; 바이러스 검사 프로그램 난리남.. 화딱지,, IDA로 분석 OEP는 언패킹하고 실제 시작 위치이다. 그래서 패킹된 상태에서 주소가 바로 안나옴. 그러나, IDA는 entry point를 잘 찾아내지롱 ~ [start endp ; sp-analysis failed]가 하나 나왔는데, OEP일 수 밖에 없쥐 참고로 failed뜬 이유는 예상치 못한 주소를 가리킬 때 뜬다. auth 더보기 00401150
디버거 이론 디버거에는 다양한 디버거 수단 존재 ex) break point, single stepping, program run, memory edit 등 breakpoint 프로그램 순서대로 실행되다가 breakpoint만나면 멈춤 breakpoint : CPU에서 특정 trigger가 발동되면 Interrupt를 발생시키도록 해놓음 Software breakpoint : 보통의 브레이크 포인트로 해당 opcode를 0xCC로 바꿈. => Interrupt 호출 Hardware breakpoint : CPU에 있는 DR0~DR3 레지스터에 세팅하는 브레이크 포인트로, 단 4개만 사용 가능 Memory breakpoint : Guard page로 만들어놓고 접근 시 예외 발생시켜 프로그램 중지 Sing..
디버거 프로그램 debug할 때 사용하는 프로그램 intel x86에는 디버깅을 위한 Interrupt들이 cpu에 디자인되어 있다. 여러 수단 제공 ex) breakpoint, single stepping, run, continue 종류 - Ollydbg, immunity dbg, IDA, x96 debugger 등 대부분 code, stack, register 보여주는 UI 제공 IDA x86, x64, arm, mips 등 여러 아키텍쳐 분석 가능 PE 뿐만 아니라 리눅스 실행파일 ELF도 분석 가능 EXE header - '4D 5A' [MZ] IDA 예시 ex) Visual Studio에서 Debug한 exe로 IDA 분석 가능 Entry point를 알아서 포커스 해줌 start_0 or 임의..
intel x86 인텔이 개발한 cpu 다양한 종류 많음 8086, 80186 등 근데 x86이 제일 널리 쓰임 64 bit cpu를 요즘 많이 쓰는데 그건 x64 혹은 amd64라고 불림 어셈블리어 cpu가 이해하는 기계어와 1:1로 매칭되는 저급언어 -> c, java 등 고급언어 cpu 아키텍처마다 어셈블리 다름 ex) x86, x64, arm, mips 등 문법은 두개임 Intel, AT&T 구조 => [명령 오퍼랜드1, 오퍼랜드2] 레지스터 cpu에 존재 eax : accumulator esgister (함수 return 값 저장) ebx : base ecx : count edx : data register esi : source index edi : destination index esp : ..
메모리 덤프뜨는 방법 FTK imager -> 무료라서 많이 이용됨 Encase 등 FTK에서 [Capture Memory]를 통해서 현재 메모리를 덤프 뜰 수 있음 이제 덤프뜬 메모리를 분석해야함 -> Volatility 도구 이용 크게 나눌 수 있음 프로세스, 네트워크, cmd, 웹기록(ie), mft파서, 프로세스 메모리 덤프, 파일 보구, 레지스트리 등 1. imageinfo 운영체제의 profile을 알아야 플러그인을 통한 메모리 파일을 분석할 수 있음 메모리가 크면 클수록 오래걸림 보통 서버를 용량이 매우 커서 분석하기도 오래걸려서 메모리 덤프를 하지 않음 -> 개인 pc라는 가정하에 보통 윈도우 서비스팩 버전이 높은 것을 선택하는 것이 좋다. * 서비스팩(Service pack) : 소프트웨..
와 ! 필기 합격했다 ~! 3회 기출 풀고 -> 참고 사이트 www.comcbt.com/ 풀이과정 작성 -> ex) ssol2-jjanghacker.tistory.com/entry/2020118-%ED%95%84%EA%B8%B0?category=915166 그리고 끝 ! 본인은 컴퓨터 관련 학과라서 2학년 학부생때 '컴퓨터 네트워크' 과목을 들은 경험이 있었고, 그 기본 바탕을 기반으로 문제 풀이만 해서 개념 암기하는 방식으로 공부함. 근데, 3회만 풀고 간 것은 너무 안일했다,,^^ 네트워크관리사 2급은 문제 은행 시험이라서 똑같은 문제 계속 반복되는데, 하필 내가 풀었던 세개의 문제가 겹치는 문제가 많았고 자신 만만했던 나는 바로 시험보러 갔쥐...^^: 생각보다 처음보는 용어가 많아서 당~황 ㅇ.ㅇ..
보호되어 있는 글입니다.
history -> (/home/~/.bash_history) group -> (/etc/group) last -> (/var/log/wtmp) lastlog -> (/var/log/lastlog) passwd -> (/etc/passwd) shadow -> (/etc/shadow) w -> (/var/run/utmp) netstat_an lsof arp (/proc/net/arp) df date hostname ifconfig timezone (/etc/timezone) localtime (/etc/localtime -> /usr/share/zoneinfo/Asia/Seoul) uname crontab (/etc/crontab) ipcs lsmod (/proc/moduls) ps pstree acces..