13 Security Lab

1. Binary Analysis Platform (BAP) ? https://github.com/BinaryAnalysisPlatform/bap 바이너리 분석 도구 ARM, x86, x86-64, PowerPC, MIPS 아키텍처의 Instruction 바이너리에 대해서 Binary Lifting 기능을 제공한다. Binary Lifting 이란 바이너리 수준의 명령코드에서 그 레벨을 한단계 높여 추상화하여 표현하는 것을 의미한다. 예를 들면 0과 1로 이루어진 기계어 또는 니모닉코드를 그 보다 높은 C언어 수준 또는 C언어보다는 낮지만 추상화 된 언어로 표현한다. Binary Lifting 을 통해 추상화 되는 수준에 대해서는 정해진 부분은 없지만 기계보다 사람에게 친숙한 쪽으로 Lifting 시키는..

Command line switchesIDA can be launched with one of the following command lines: ida input-file (Start graphical interface) idat input-file (Start text interface) Add the '64' postfix to the command name in order to start the 64-bit version of IDA. For example: ida64 input-file will start 64-bit graphical interface.The following command line switches are recognized: -a disable auto analysis (-a..

Environment win 10 x64 ida 6.8 idapython ida2pat When I run idb2pat script using idapython on shell prompt, idb2pat fail call idb2pat.getname() function it shows the below exception message it fails to parse getname() parameter, it provides different number of parameters I found it. idb2pat is updated after IDA 7.0 release, get_name function is modified after then. idb2pat repository code diff. ..

[TroubleShoot] idapython commandline execution problem. Environment windows 10 x64 ida 6.8 idapython-1.7.2_ida6.8_py2.7_win32 Commandline [1] >>idaq -A -S"C:\Program Files (x86)\IDA 6.8\python\ScriptName.py" "C:\DBPath\SamplePE.idb" or [2] >>idaq -A -S"C:\Program Files (x86)\IDA 6.8\python\ScriptName.py" "C:\DBPath\SamplePE.idb" Problem If u use command [1], It will dismisses any exception messa..

1. IDAPython? ida pro의 개방 아키텍처 기반의 플러그인 idapython BinNavi, PaiMei, PyEmu 등 오픈소스프로젝트에 이용 IDAPython은 idc와 완벽히 호환. idc가 지원하는 모든 함수 idapython에서 사용가능 예제) - ScreenEA() IDA 화면 내 커서의 현재 위치 구하기 - GetInputFileMD5() IDA 로드 된 바이너리의 md5해쉬값 구하기 (바이너리 변경사항 확인에 사용가능) idapython 참고 내용 - 파이썬해킹프로그래밍 발췌 더보기 2. 설치 & 사용법 2.1 idapython 설치폴더 내 readme.md IDAPython =========### Python plugin for Interactive Disassembler I..

md5: 4a56896b83369002371e16f1b9df9f8c Reyptson Ransomware 랜섬웨어 기능 외에 ThunderBird 메일 내 연락처 목록을 탈취하여 스팸메일을 발송하는 기능을 수행한다. Reyptson Ransomware 감염 시 아래 팝업 윈도우 출력 열어 보면 아래와 같은 함수 종류들을 쓰고있다 User ID PW 정보들을 찾는다 Mozilla Thunderbird 설치 여부를 확인한다. 아래와 같이 Thunderbird 메일 계정을 찾는 것을 알 수 있다. Decrypt 함수 아래는 감염 제외 경로 이다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 private string[] excluidas = new string[] { "c:\\windows"..

컴파일 할때 타겟 인텔, HP, ARM 등등 시스템 아키텍처가 여러개일 경우 그 환경에 따라서 고려하지 못한 문제가 발생할 수 있다. 대표적으로 Little Endian / Big Endian 과 x86 / x64 OS 환경별로 달라지는 요소들을 생각해 볼 수 있다. 어떤 것인지는 알지만 막상 컴파일해서 결과를 보기전까지는 또는 결과를 보더라도 바이너리 내부까지 보이는 것은 아니므로 알 수 없는 버그가 터지기도 한다. .. 1. 메모리 구조체 포인터 매핑 사용 문제 메모리에 읽어 놓은 바이너리 데이터 성격에 맞춰 구조체를 선언하여 매핑하려고 했었으나 x64비트 환경에서 예상치 못한 문제가 발생하였다. 나의 경우에는 아래의 코드 형태에서 문제가 발생했었다. 1 2 3 4 5 6 7 8 9 10 11 12 ..

"""i used this code for get http data from web using pycurl but, when i use bellow code "before" it get code loss partially(front of data). I think when use undefined variable it makes data lose then, use object "StringIO" it covered range of buffer to get data from web""" Import 1 2 from StringIO import StringIO import pycurl before: 1 2 3 4 5 6 7 def http_body_callback(buf): contents = buf; cu..

WM_NULL = 0x00 WM_CREATE = 0x01 WM_DESTROY = 0x02 WM_MOVE = 0x03 WM_SIZE = 0x05 WM_ACTIVATE = 0x06 WM_SETFOCUS = 0x07 WM_KILLFOCUS = 0x08 WM_ENABLE = 0x0A WM_SETREDRAW = 0x0B WM_SETTEXT = 0x0C WM_GETTEXT = 0x0D WM_GETTEXTLENGTH = 0x0E WM_PAINT = 0x0F WM_CLOSE = 0x10 WM_QUERYENDSESSION = 0x11 WM_QUIT = 0x12 WM_QUERYOPEN = 0x13 WM_ERASEBKGND = 0x14 WM_SYSCOLORCHANGE = 0x15 WM_ENDSESSION = 0x16 WM_..

대상 파일: 085ea96239c20acd94ce3660931c4b58 .Net 내부에 인코딩 된 .net PE를 갖고있고, 디코딩 후 이미지교체를 통해 PE로딩 기법을 사용 PE 이미지 로더 / 이미지 드롭핑 / PE 이미지 교체 ILSpy로 먼저 살펴 보고자 했으나, 난독화의 정보가 심하고, 코드로 봐도 수상한 점을 찾을 수 없는 파일이다. CFF Explorer 를 통해서 PE 정보를 살펴 보면 VersionString 에 닷넷 v2.0.50727 임을 알 수 있다. CFFExplorer 섹션 확인섹션형태도 겁나 양호해서 내가 알고 있던 크립터로 되어있는 건 아닌 듯 하다. DnSpy로 클래스뷰를 확인하면 아래와 같다.. hadmara, hadmara.exe 가 보이면서 어느정도 윤곽이 잡힌다. 디..