| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- MySQL
- open office xml
- ida pro
- pytest
- TensorFlow
- commandline
- svn update
- NumPy Unicode Error
- Analysis
- 포인터 매핑
- ida
- Ransomware
- error fix
- idapro
- Rat
- hex-rays
- why error
- data distribution
- idapython
- javascript
- mock.patch
- Injection
- debugging
- malware
- h5py.File
- error
- x64
- Python
- ecma
- idb2pat
- Today
- Total
13 Security Lab
Reyptson Ransomware
md5: 4a56896b83369002371e16f1b9df9f8c Reyptson Ransomware 랜섬웨어 기능 외에 ThunderBird 메일 내 연락처 목록을 탈취하여 스팸메일을 발송하는 기능을 수행한다. Reyptson Ransomware 감염 시 아래 팝업 윈도우 출력 열어 보면 아래와 같은 함수 종류들을 쓰고있다 User ID PW 정보들을 찾는다 Mozilla Thunderbird 설치 여부를 확인한다. 아래와 같이 Thunderbird 메일 계정을 찾는 것을 알 수 있다. Decrypt 함수 아래는 감염 제외 경로 이다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 private string[] excluidas = new string[] { "c:\\windows"..
다양한 타겟 OS 크로스컴파일 빌드 / 메모리 구조체 매핑 문제 해결하기
컴파일 할때 타겟 인텔, HP, ARM 등등 시스템 아키텍처가 여러개일 경우 그 환경에 따라서 고려하지 못한 문제가 발생할 수 있다. 대표적으로 Little Endian / Big Endian 과 x86 / x64 OS 환경별로 달라지는 요소들을 생각해 볼 수 있다. 어떤 것인지는 알지만 막상 컴파일해서 결과를 보기전까지는 또는 결과를 보더라도 바이너리 내부까지 보이는 것은 아니므로 알 수 없는 버그가 터지기도 한다. .. 1. 메모리 구조체 포인터 매핑 사용 문제 메모리에 읽어 놓은 바이너리 데이터 성격에 맞춰 구조체를 선언하여 매핑하려고 했었으나 x64비트 환경에서 예상치 못한 문제가 발생하였다. 나의 경우에는 아래의 코드 형태에서 문제가 발생했었다. 1 2 3 4 5 6 7 8 9 10 11 12 ..
python bug - pycurl lose string data of callback return
"""i used this code for get http data from web using pycurl but, when i use bellow code "before" it get code loss partially(front of data). I think when use undefined variable it makes data lose then, use object "StringIO" it covered range of buffer to get data from web""" Import 1 2 from StringIO import StringIO import pycurl before: 1 2 3 4 5 6 7 def http_body_callback(buf): contents = buf; cu..
List of Windows message code constant
WM_NULL = 0x00 WM_CREATE = 0x01 WM_DESTROY = 0x02 WM_MOVE = 0x03 WM_SIZE = 0x05 WM_ACTIVATE = 0x06 WM_SETFOCUS = 0x07 WM_KILLFOCUS = 0x08 WM_ENABLE = 0x0A WM_SETREDRAW = 0x0B WM_SETTEXT = 0x0C WM_GETTEXT = 0x0D WM_GETTEXTLENGTH = 0x0E WM_PAINT = 0x0F WM_CLOSE = 0x10 WM_QUERYENDSESSION = 0x11 WM_QUIT = 0x12 WM_QUERYOPEN = 0x13 WM_ERASEBKGND = 0x14 WM_SYSCOLORCHANGE = 0x15 WM_ENDSESSION = 0x16 WM_..
[Log] 닷넷 PE이미지 로딩 악성코드 풀어보기
대상 파일: 085ea96239c20acd94ce3660931c4b58 .Net 내부에 인코딩 된 .net PE를 갖고있고, 디코딩 후 이미지교체를 통해 PE로딩 기법을 사용 PE 이미지 로더 / 이미지 드롭핑 / PE 이미지 교체 ILSpy로 먼저 살펴 보고자 했으나, 난독화의 정보가 심하고, 코드로 봐도 수상한 점을 찾을 수 없는 파일이다. CFF Explorer 를 통해서 PE 정보를 살펴 보면 VersionString 에 닷넷 v2.0.50727 임을 알 수 있다. CFFExplorer 섹션 확인섹션형태도 겁나 양호해서 내가 알고 있던 크립터로 되어있는 건 아닌 듯 하다. DnSpy로 클래스뷰를 확인하면 아래와 같다.. hadmara, hadmara.exe 가 보이면서 어느정도 윤곽이 잡힌다. 디..