13 Security Lab

What is TF-IDF ? TF-IDF (Term Frequency-Inverse Document Frequency) is a weight used in information retrieval and text mining, and is a statistical value indicating how important a word is in a specific document when there is a document group consisting of multiple documents. TF (term frequency) is a value that indicates how often a specific word appears in a document, and the higher this value,..

In this article we covers tor project and deep web, dark web also called as tor web. Because of the name "Tor" comes to mind first, Marvel's character "Thor", I think it will be easier to understand to call it Tor Project or Tor Broweser or Tor Network. What is Tor ? Tor means The Onion Router, which is the name of the project. Tor Project is a non-rofit organization that conducts research and d..

IDA Pro toast error message like "Please refer to the manual to find appropriate actions" that can be confuced meaning of error. Problem? I got this error when i modified some IDA pro stack value It shows followed by error message "positive SP value has been found". But not this time In conclusion, I fixed this problem by modifying call parameter type. before the function call, it pushed twice. ..

1234567891011121314151617181920212223242526# 1.Enable WSL via powershell (Run as Admin.) >> Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux # 2. Install Ubuntu from Microsoft Store # 3. Run bash in Windows CMD and install:$ sudo apt update$ sudo apt upgrade$ sudo apt-get install lamp-server^ $ sudo apt-get install mongodb $ sudo service apache2 start$ sudo se..

pip install cuckoo then, I got this. Error Message: (ValueError: jpeg is required unless explicitly disabled using --disable-jpeg, aborting) 12345678910111213141516171819202122232425262728293031323334353637 writing manifest file 'Pillow.egg-info/SOURCES.txt' copying PIL/OleFileIO-README.md -> build/lib.linux-x86_64-2.7/PIL running build_ext Traceback (most recent call last): File "", line 1, in ..

[ECMA] OFFICE OPEN XML OVERVIEW https://www.ecma-international.org/news/TC45_current_work/OpenXML%20White%20Paper.pdf ECMA TC45 TOM NGO (NEXTPAGE), EDITOR - Overview 의 내용이 생각보다 많아 이를 다시 요약하는 것으로 정리 1. INTRODUCTION Office Open XML (OpenXML) 은 워드 프로세싱 문서(Word), 프레젠테이션,(Power Point) 스프레드시트(엑셀) 에 대한 공개 표준(Open Standard) 입니다. 이 공개 표준을 통해서 여러 플랫폼의 여러 어플리케이션에서 자유롭게 구현 할 수 있습니다. 이 Publication은 상업적 사용을 위..

1. IntroductionAfter CFB(Compound File Binary) Format, MS released new office file format now we already familiar.It is Ofiice Open XML format and it extension added "x" the following the former extension like "docx" It applied first at Microsoft Office 2007 Day after day APT attack is increased using MS office 대부분의 공격은 Office에 삽입 된 Macro 를 통해서 이루어지는 것으로 보임상위 버전의 Office에서는 보안경고가 뜨고 동의하면 매크로가 실행보..

md5: 4a56896b83369002371e16f1b9df9f8c Reyptson Ransomware 랜섬웨어 기능 외에 ThunderBird 메일 내 연락처 목록을 탈취하여 스팸메일을 발송하는 기능을 수행한다. Reyptson Ransomware 감염 시 아래 팝업 윈도우 출력 열어 보면 아래와 같은 함수 종류들을 쓰고있다 User ID PW 정보들을 찾는다 Mozilla Thunderbird 설치 여부를 확인한다. 아래와 같이 Thunderbird 메일 계정을 찾는 것을 알 수 있다. Decrypt 함수 아래는 감염 제외 경로 이다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 private string[] excluidas = new string[] { "c:\\windows"..

대상 파일: 085ea96239c20acd94ce3660931c4b58 .Net 내부에 인코딩 된 .net PE를 갖고있고, 디코딩 후 이미지교체를 통해 PE로딩 기법을 사용 PE 이미지 로더 / 이미지 드롭핑 / PE 이미지 교체 ILSpy로 먼저 살펴 보고자 했으나, 난독화의 정보가 심하고, 코드로 봐도 수상한 점을 찾을 수 없는 파일이다. CFF Explorer 를 통해서 PE 정보를 살펴 보면 VersionString 에 닷넷 v2.0.50727 임을 알 수 있다. CFFExplorer 섹션 확인섹션형태도 겁나 양호해서 내가 알고 있던 크립터로 되어있는 건 아닌 듯 하다. DnSpy로 클래스뷰를 확인하면 아래와 같다.. hadmara, hadmara.exe 가 보이면서 어느정도 윤곽이 잡힌다. 디..

최근에 VB.NET 으로 되어진 코드에 대해 크립터로 난독화 해왔습니다. 주로 우리가 했던 것은 그 로직과 암호화 방법을 찾는 것이었는데 제가 생각하기에는 리버싱의 가장 어려운 부분은 로직을 찾는 것이지 패치나 숨겨진 부분을 찾는 것이 아닌 것 같습니다. 그래서 여기서는 다음 두가지를 다루어 보고자 합니다. - anti-reversing protection 제거 - 디컴파일, 실행 가능하게 프로그램 수정 여기 난독화 해제에 대한 많은 내용들이 있지만, 이 것들은 일단 뒤로 넘기고 수동으로 따라가면서 한번 스스로 해봅니다. (그게 진짜로 도움 됨 ) DnSpy를 통해 코드를 로드 해봅니다. 그리고 우리의 모듈과 클래스 그리고 디컴파일되지 않은 코드들 안에 정의 된 메소드들이 뭔지 살펴 봅니다. [messe..