reversing

Short bio분석 환경Windows XP 샘플 파일1Lab01-03.exe   Questions1) VirusTotal Detections? 2) Packed/Obfuscated? 3) Import Hints? 4) Host/Network Based Indicators? 1) VirusTotal Detections?FileNameLab01-03.exeMD59c5c27494c28ed0b14853b346b113145 SHA-256 7983a582939924c70e3da2da80fd3352ebc90de7b8c4c427d484ff4f050f0aec Detection ratio66/73Creation Time2011-03-26 06:54:39 UTC  2) Packed/Obfuscated?Lab01-02.ex..

Short bio분석 환경Windows XP 샘플 파일1Lab01-02.exe  Questions1) VirusTotal Detections?2) Packed/Obfuscated?3) Import Hints?4) Host Based Indicators? 1) VirusTotal Detections? FileNameLab01-02.exeMD5 8363436878404da0ae3e46991e355b83 SHA-256c876a332d7dd8da331cb8eee7ab7bf32752834d4b2b54eaa362674a2a48f64a6 Detection ratio59/72Creation Time 2011-01-19 16:10:41 UTC   2) Packed/Obfuscated?Lab01-02.exe2011-01-..

Short bio분석 환경Windows XP 샘플 파일1Lab01-01.exe2Lab01-01.dll Questions1) VirusTotal Detections?2) Compilation Date?3) Packed/Obfuscated?4) Import Hints? 5) Host Based Indicators? 6) Network Based Indicators? 7) Suggested Purpose? 1) VirusTotal Detections?  FileNameLab01-01.exeMD5bb7425b82141a1c0f7d60e5106676bb1 SHA-256 58898bd42c5bd3bf9b1389f0eee5b39cd59180e8370eb9ea838a0b327bd6fe47 Detection ratio ..

'Anti-Debug Assembly instructions' 설명 CPU가 특정 명령을 실행할 때 디버거가 작동하는 방식에 따라 디버거의 존재를 탐지하는 방법 1. INT 3 2. INT 2D 3. DegubBreak 4. INT1 5. Stack Segment Register 6. POPF and Trap Flag 7. PREFIX REP INT 3 INT3은 소프트웨어 브레이크 포인트로 사용되며 INT3이 호출되면 EXCEPTION_BREAKPOINT (0x80000003)가 발생하고 예외 처리기가 호출된다. 일반적인 실행 인 경우 예외가 발생되면 예외 처리기에 의해 제어되지만 디버깅중일 경우는 예외처리를 디버거가 받기 때문에 예외 처리기가 실행되지 않은 상태에서 코드가 실행되는 것을 이용 주로 S..

악성 코드란? 악성코드는 컴퓨터 시스템을 손상시키고 데이터에 해를 끼치거나 사용자의 정보를 훔치거나 파괴하는 악의적인 목적을 가진 소프트웨어를 말한다. 악성코드는 주로 이메일 첨부 파일, 웹 사이트로 경로로부터 다운로드, 네트워크, USB 드라이브와 같은 이동식 미디어를 통해 시스템으로 확산된다. 이는 바이러스, 웜, 트로이 목마, 스파이웨어, 랜섬웨어, 애드웨어 등 다양한 형태의 악성 소프트웨어를 포함한다. 악성 코드의 역사 악성코드는 컴퓨터 보안 분야의 중요한 부분이며 컴퓨터와 인터넷이 발전함에 따라 다양하고 고급화된 형태로 발전해오고 있다. 컴퓨팅 초창기에는 주로 플로피 디스크나 기타 저장 매체를 통하여 바이러스가 유포되었다. 이후 1990년대 윈도우 운영체제의 보급으로 악성코드가 더욱 증가하였다...

Short bio Trojan.Downloader 악성코드는 트로이목마 영향을 받는 시스템에서 다른 악성코드를 다운로드하는 다운로더형 악성코드이다. 특정 웹 사이트나 c&c 서버로 접속해서 악성코드를 다운로드 받아서 감염시킨다. Static analysis Automated analysis Information MD5 80c37b313c4ce65516814e6d2c96bf4b SHA-1 6b5470a668172061a3cc43fd6b0d24fa68f54faa SHA-256 9fd55d74f4295842057fb072177337c7486575a8f680229602259d58636fb6a6 File type Win32 EXE Magic PE32 executable (console) Intel 80386, f..

에임류 , 월핵류를 제외하곤 플레이에 영향을 주는 대표적인 핵이 또 무엇이 있는가? 'SpeedHacking' 약 20여 년 전만 하여도 Game은 Online 게임보단 Single 게임이 주류를 이뤘다. 이때 Single 게임은 스토리 모드, 퀘스트 같은 컨텐츠를 주로 하였는데 단지 게임을 빨리 클리어하고 싶다던지 좀 변칙적인 게임을 즐기기 위해 Game Hacking이 등장했다. 추 후 Online 게임이 등장하면서 Online게임들이 주류를 이루게 되는데 게임은 더 이상 혼자만 하는 것이 아닌 남들과 같이하는 , 경쟁하는 구도로 바뀌게 되면서 게임 중독성 및 경쟁의식을 강하게 키워 주었다. 공평한 조건에서 시작하는 Online 게임은 남들과 달리 변칙적인 행동이 있어야 게임 승산이 커지는 건 당연한..

앞에서 FPS 게임의 월핵에 대해서 알아보았다면 이번에는 에임핵에 대한 글을 다뤄 보자 한다. 흔히 에임핵으로 불리는 에임봇은 사용자가 적을 직접 조준하지 않아도 자동으로 에임을 적에게 조준해 주는 핵을 말한다. 내가 직접 Target을 조준하지 않아도 자동으로 Target을 조준하는 작업을 해주는 프로그램이 있다면 이 얼마나 편할 것인가? 게임 플레이에 있어 월핵만큼 영향을 많이 줄 수 있는 핵이라 볼 수 있다. 에임봇핵의 구현방식은 어떻게 될까? 에임(커서)를 적에게 자동으로 조준시킬 수 있는 방법은 꽤나 몇 가지가 존재한다. 각도를 계산하여 내 Camera를 회전시킨다. ㄴ회전할 각도를 계산하여 내 Camera를 회전시켜 적을 조준하는 일반적인 에임봇 방식. 화면좌표로 계산하여 마우스 좌표를 이동시..

2편에서는 그래픽 모듈을 후킹 하여 사용하는 월핵에 대해서 알아보았는데 월핵은 무조건 그래픽 모듈을 후킹하는 방법의 월핵만 존재하는가? 꼭 그렇다고 할 순 없다. 그래픽 모듈을 건드리는 방법을 제외하고 상대방의 위치를 알 수 있는 월핵의 종류도 몇 가지 존재한다. 전 편에서 다룬 DirectX 함수를 후킹 하여 ZBuffer를 비활성화하는 그래픽 모듈을 변조하는 월핵이 있고 플레이어 정보가 담긴 게임 구조체의 메모리를 읽어와 플레이어 정보를 화면에 그려주는 ESP (ExtraSensory Perception)라는 월핵이 있다. 또한 물리엔진을 이용한 월핵도 존재한다. 게임 클라이언트 폴더의 Resource 파일에 접근하여 물체를 담당하는 models 파일들을 변조하여 사용하는 월핵도 있다. 이처럼 상대방..

FPS 게임을 하다 보면 종종 불법 프로그램 사용자를 만날 수 있는데 그 중 제일 많이 보이는 핵을 손에 꼽아 말한다면 "월핵"이라 할 수 있다. FPS 게임을 망치는 주범이며 월핵은 무엇이길래 불법 프로그램 사용자들이 주로 사용할까? 요번에는 FPS 게임이면 자주 발견 할 수 있는 "월핵" 에 대해서 이야기를 다뤄보자 한다. '월핵 ?' 월핵은 영어 단어로 벽을 뜻하는 "Wall"에서 따왔다. 벽을 뚫고 상대방을 본다. 라는 개념인데 Wallhack(월핵)은 벽을 통과해 상대방 Character(캐릭터) 모델을 투시할 수 있는 핵이다. FPS 게임에서 상대방 (적군)의 위치를 알고 있다면 플레이가 매우 쉬워질 것이다. 즉슨 게임의 승패를 좌우할 만큼 FPS 게임에서의 상대방의 위치는 매우 중요한 요소로..