일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- commandline
- TensorFlow
- why error
- idapython
- error
- svn update
- Injection
- open office xml
- malware
- pytest
- NumPy Unicode Error
- ecma
- ida
- x64
- Analysis
- Python
- h5py.File
- javascript
- idb2pat
- ida pro
- idapro
- debugging
- mock.patch
- data distribution
- 포인터 매핑
- error fix
- MySQL
- Rat
- Ransomware
- hex-rays
- Today
- Total
13 Security Lab
Fakenet은 오픈소스 형태로 제공되고 있는 네트워크 시뮬레이션 툴이다. 좀 더 명확히는 윈도우즈시스템에서 발생하는 서버와의 통신에 대해서 서버가 살아있지 않아도 살아 있는 것처럼 테스트 해준다. 악성코드를 수집 후 행위를 분석할 때, 그 C&C 서버 또는 다운로드 서버는 그 라이프사이클이 짧아 금방 닫히는 경우가 많아 어려움을 겪는데 이에 유용하게 사용 할 수 있다. 오픈소스 형태로 Github에서 소스코드를 받을 수 있지만, 릴리즈 된 바이너리 또한 제공하고 있으므로 아래 주소에서 받아 사용 할 수 있다. https://github.com/fireeye/flare-fakenet-ng/releases 만약 해당 서버가 살아있지 않은 경우, 세션을 맺은 이후 패킷을 전송하거나 요청하는 부분의 행위를 알..
최근에 VB.NET 으로 되어진 코드에 대해 크립터로 난독화 해왔습니다. 주로 우리가 했던 것은 그 로직과 암호화 방법을 찾는 것이었는데 제가 생각하기에는 리버싱의 가장 어려운 부분은 로직을 찾는 것이지 패치나 숨겨진 부분을 찾는 것이 아닌 것 같습니다. 그래서 여기서는 다음 두가지를 다루어 보고자 합니다. - anti-reversing protection 제거 - 디컴파일, 실행 가능하게 프로그램 수정 여기 난독화 해제에 대한 많은 내용들이 있지만, 이 것들은 일단 뒤로 넘기고 수동으로 따라가면서 한번 스스로 해봅니다. (그게 진짜로 도움 됨 ) DnSpy를 통해 코드를 로드 해봅니다. 그리고 우리의 모듈과 클래스 그리고 디컴파일되지 않은 코드들 안에 정의 된 메소드들이 뭔지 살펴 봅니다. [messe..
WMI 는 윈도우즈 전반적인 관리기능을 제공하는 인프라라고 설명하고 있다. Windows Management Instrumentation Purpose Windows Management Instrumentation (WMI) is the infrastructure for management data and operations on Windows-based operating systems. You can write WMI scripts or applications to automate administrative tasks on remote computers but WMI also supplies management data to other parts of the operating system and pro..
C에서는 다음과 같은 방법으로 참조 호출 방법 (Call by Reference) 를 사용 1 2 3 4 5 6 7 8 9 10 11 12 13 void dataCalc(int *data) { *data = *data + 1; } int main() { int data = 1; dataCalc(&data); print ("data : %d", data); } cs 결과: data : 2 하지만 파이썬에서는 명시적인 Call by Reference 가 불가 (공식 manual에는 call by assignment) 넘겨지는 객체의 종류에 따라서 Call by Reference 또는 Call by Value 가 결정 됨 1. immutable object immutable object인 int, float,..
A curated list of awesome deobfuscation tools for reverse engineers. 1. Balbuzardhttps://bitbucket.org/decalage/balbuzard/wiki/HomeBalbuzard is a package of malware analysis tools in python to extract patterns of interest from suspicious files (IP addresses, domain names, known file headers, interesting strings, etc). It can also crack malware obfuscation such as XOR, ROL, etc by bruteforcing an..