1 안티바이러스 스캐닝_VIRUSTOTAL 1) VIRUSTOTAL은 악성코드 파일이나 URL을 업로드하여 악성코드를 탐지하는 사이트이다. 파일을 업로드한 결과 70가지의 검색 엔진 중 50가지에서 이를 악성코드로 감지했다는 것을 알려준다. Detection에서 어떤 엔진에서 이 파일을 악성코드로 탐지했는지 파악할 수 있다. 2) Dtails에서는 보다 자세한 내용을 확인할 수 있다. 2 해시 값 검증_WinMD5Free 1) 해시 값은 악성 또는 정상 코드가 가지는 고유한 값으로 해당 파일의 해시 값을 원본파일의 해시 값과 비교하여 파일이 위변조 되었는지 확인할 수 있다. WinMD5Free zip과 exe 파일의 해시 값은 해당 사이트에 나와있다. 2) WinMD5Free에서 Original file..
1 Little Endian 실습 바이트 오더링의 방식에는 Big Endian과 Little Endian이 있다. Big Endian 데이터를 앞에서부터 순차적으로 저장하는 방식인 반면, Little Endian은 데이터를 저장할 때 역순으로 저장하는 방식이다. 하지만 str 문자열의 경우에는 바이트 오더링 방식에 관계없이 동일하게 앞에서부터 순차적으로 저장된다. 1. 위와 같은 소스코드의 실행파일을 Immunity Debugger에서 분석하였다. 2. 코드에서 main()함수를 call 하는 부분을 찾아 main() 함수의 시작점으로 이동하였다. 3. Dump window 부분을 보면 저장된 값이 Hex dump에 드러난다. 빨강색 부분은 BYTE b = 0x12;가 저장된 부분이다. 2byte 단위로..
1. 문자열 버퍼를 직접 수정 1) “www.reversecore.com” 문자열이 저장되어 있는 것을 확인 2) 해당 라인을 클릭해 문자열이 들어가 있는 주소를 확인 3) Dump window에서 Ctrl+G로 “402100”으로 이동하고 “www.reversecore.com”문자열을 선택해 Ctrl+E를 통해 에디터 창을 열 수 있음 4) “www.reversecore.com"을 유니코드 창에서 “www.swu.com”으로 편집하고 남는 문자열은 HEX+19 창에서 00으로 채워 지워줌 5) Code window에서 “www.reversecore.com”가 “www.swu.com”으로 변경된 것을 확인 가능함 6) Dump window에서 Copy to excutable file > Save file..
