공부용

국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되었다. 해당 악성 파일은 LNK(바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있다LNK 파일 실행 시, 파워쉘 명령어로 LNK 파일에 내장된 여러 파일이 추출/생성된다. 생성된 파일 목록파일명오프셋사이즈행위(LNK파일명).pdf0x000010E40x2A7965*디코이 파일toy01.dat0x002A8A490xD9190인코딩된 RokRAT 악성코드toy02.dat0x00381BD90x634toy01.dat 파일 실행toy03.bat0x0038220D0x14Ctoy02.dat 파일 실행 파일 생성이 끝나면 생성된 PDF 파일과 toy03.bat 파일 실행뒤 LNK 파일이 자가 삭제된다. PDF 파일 : 디코이 파일로 사용된 정상..

문제 설명이 문제는 사용자에게 문자열 입력을 받아 정해진 방법으로 입력값을 검증하여 correct 또는 wrong을 출력하는 프로그램이 주어집니다.해당 바이너리를 분석하여 correct를 출력하는 입력값을 찾으세요! 문제 파일을 받고, IDA에서 해당 파일을 열어서 정적 분석을 시도했다.어셈블리어를 잘 몰라서 f5를 눌러서 디컴파일된 코드를 바로 확인했다. main 함수인데, correct를 출력하는 입력값을 찾아야 하니까, if 조건문이 중요해 보였다. sub_140001000이 무슨 함수인지 잘 모르겠음. 이건 프로그램 실행하면 나오는 화면인데, "Input : "을 출력하고 입력을 받는 것 같다. 즉, sub_140001190이 printf고, sub_140011F0은 scanf 같다.v4가 입력받..

Introduction: Reverse Engineering엔지니어링 : 완성품과 이를 구성하는 부품들의 기능과 설계를 고안하고, 제작하는 과정.리버스 엔지니어링(Reverse Engineering) : 엔지니어링의 역과정. 리버싱의 용도좋은 예 : 개발을 중단한 프로그램에 대한 패치가 필요할 때 / 각종 프로그램의 보안성 평가 / 악성코드를 분석할 때나쁜 예 : 상용 프로그램을 구매 없이 무료로 이용하기 위해 쓰는 키젠 프로그램 등의 불법 프로그램 제작할 때 / 게임핵을 만들 때리버싱 시 프로그램의 전체적인 작동 원리를 알아낼 수 있음. -> 지적 재산권 침해의 위험성.테스팅, 연구, 학습 등의 리버싱 : 저작권을 침해하지 않는 한, 제한적으로 허용. Background: Binary 프로그램을 연산 ..