일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- x64
- TensorFlow
- pytest
- malware
- idapro
- Ransomware
- Rat
- error fix
- data distribution
- open office xml
- Injection
- idapython
- MySQL
- commandline
- javascript
- h5py.File
- svn update
- ida pro
- debugging
- Python
- mock.patch
- why error
- idb2pat
- ecma
- error
- Analysis
- 포인터 매핑
- NumPy Unicode Error
- ida
- hex-rays
- Today
- Total
목록분류 전체보기 (137)
13 Security Lab
1. Themida Anti-VM (VMware) 우회 - VM 설정 및 레지스트리 동작 환경 Host OS Windows 8.1 K x64 VMware Workstation Version 11.0.0 build-2305329 Guest OS Windows XP Professional K SP3 x86 2015년 6월 25일 최신 데모인 ThemidaDemo32_64의 2.3.4.14 버전에서 적용 가능하다.아래 두 방법을 동시 적용해야 한다. 1) 레지스트리 키 값 변경시작 - 실행 - regedit 등으로 레지스트리 편집기를 열어 다음의 키 값을 수정한다. 키 경로HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC..
https://code.google.com/p/vcrefer/source/browse/ExtClass/WMI/WMIAdapter.cpp(svn/ExtClass/WMI/WMIAdapter.cpp) Com 함수를 이용하여 DNS 주소 및 게이트웨이에 대한 설정을 변경합니다. ( 127.0.0.1, 8.8.8.8 ) 다른 Ref. http://forensic-proof.com/archives/324 ( WMI (Windows Management Instrumentation) ) #include "StdAfx.h" #include ".\wmiadapter.h" WCHAR* CWMIAdapter::s_pNetAdapterState[] = { L"未连接"// 0 not connected , L"正在连接"// 1 c..
아는 게 힘이라고? 누가 그래? ‘아는 것’과 ‘아는 것을 실천하는 것’은 별개의 영역이다. 10개를 알고 1개를 실천하는 사람보다 알고 있는 5개를 전부 실천하는 사람이 더 낫다. 법 지식도 마찬가지다. 조금만 노력하면 유용한 법 지식을 쉽게 구할 수 있는 세상, 내 권리를 제대로 확보하기 위해서는 지식을 아는 것보다 알고 있는 지식을 실천하는 실행력이 훨씬 더 중요하다. 실천하지 않는 지식은 장식에 불과하다. 1년 전, 모 협회에서 요청이 들어와 강의를 한 적이 있다. 스타트업 CEO들을 대상으로 한 법률 강의였다. 이 강의의 수강생 중 한 명인 최상명 씨가 내게 상담을 요청했다. 자기 아이디어를 대기업이 함부로 도용했다는 거였다. 상명 씨는 겉으로 봐선 대학생처럼 보였는데 명함을 보니 CEO라고 되..
md5 : 9ee9aa1537907f63d8350cc294ab7e6b 해당 파일은 Bot류로서 다음과 같은 기능이 있음서비스거부공격(DOS, Denial of Service)- TCP Data Flood - TCP Rnd Flood - TCP Pck Flood - TCP Connect Flood - SYN Flood - HTTP Flood - ES Flood C&C의 경우 아래 네이버 블로그 URL 에서 명령을 받아오는 것으로 판단되나, 현재 해당 블로그는 차단된 상태"http://blog.naver.com/PostView.nhn?blogId=windowupdate&logNo=150110424974&parentCategoryNo=1&viewDate=¤tPage=1&listtype=0&userTopList..
warning C4627: '#include ': 미리 컴파일된 헤더 사용을 찾을 때 건너뛰었습니다. ... ... ... fatal error C1010: 미리 컴파일된 헤더를 찾는 동안 예기치 않은 파일의 끝이 나타났습니다. '#include "StdAfx.h"'을(를) 소스에 추가하시겠습니까? 방법1. 미리 컴파일된 헤더 사용안하기 프로젝트 속성 페이지 -> 구성 속성 -> C/C++ -> 미리 컴파일된 헤더 -> 미리 컴파일된 헤더 -> 사용안함 방법2. 설정을 변경하지 않고 사용할때 #include "StdAfx.h" 를 에러가 발생한 소스(.cpp)에서 첫번째에 명시한다. 관련 MSDN Ref. https://social.msdn.microsoft.com/Forums/ko-KR/cc067d9f..
API to tell OS which error types application will control instead of operating system. SEM_FAILCRITICALERRORS|SEM_NOGPFAULTERRORBOX|SEM_NOOPENFILEERRORBOX. These parameters means that whenever these type of exceptions occur in the caller process of the API, Windows will not show critical errors dialog, windows error reporting dialog and file not found dialog. 악성코드 시작 시 SetErrorMode 호출을 통해 동작 중에 ..
VMware - VMSwitchUserControlClass [VirtualMachineDetect.h] 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 // ------------------------------------------------ ------------------------ // Function to determine whe..
Analyse equipmentLet's start from the hard disk. If you look hard disk ID in the Device Manager on the virtual machine in its structure can be seen interesting lines: DiskVirtual for VirtualPC DiskVBOX_HARDDISK for Virtual Box Prod_VMware_Virtual for VMware WorkstationThe easiest way to find out the name of the hard disk - read the key value with the name "0" in the registry branch HKLM\HKEY_LOC..
97259bd1fc915ad44a11abd7eccf6ac2 : DLL 형태f5025306001f5f9d73a98891957f423a : EXE 형태(064efa69e838c5455c5596bcc5bb02bd) 두 파일 모두 CryptoWall 4.0 으로서 수행하는 기능은 동일(인젝션, 파일암호화, 자동실행 등록)또한, "149.202.120.104", "149.202.120.106" (FR) 등 같은 유포지에서 유포되어 제작자 또한 같은 것으로 추정 파일은 확인 되지 않은 패커(또는 Wrapper)로 패킹 된 것으로 보이고, 내부에는 "Borland Delphi 3.0" 으로 컴파일 된 PE가 존재한다. 97259bd1fc915ad44a11abd7eccf6ac2 내부에서 확인 된 DLL : 7210c7..