| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 |
- svn update
- why error
- ida
- ecma
- Analysis
- debugging
- idb2pat
- Ransomware
- 포인터 매핑
- x64
- idapro
- data distribution
- Rat
- h5py.File
- hex-rays
- mock.patch
- error fix
- Python
- malware
- open office xml
- MySQL
- pytest
- NumPy Unicode Error
- ida pro
- TensorFlow
- javascript
- idapython
- error
- Injection
- commandline
- Today
- Total
목록2021/02/23 (2)
13 Security Lab
DBI(Dynamic Binary Instrumentation) 겉핥기로 알아보기
DBI (Dynamic Binary Instrumentation) printf("test %s", buf); 등과 같이 특정 시점에서의 변수값 등을 확인하거나 프로그램의 행위를 조사하는 일을 Instrumentation 라고 부른다 바이너리 분석을 할때 각종 모니터링 툴들을 켜고 악성코드를 실행하여 행위를 분석하거나, 런타임에 코드를 후킹하여 데이터를 조사 또는 변경하는 방법으로 분석한다. 비교 DBA vs. DBI DBA (Dynamic Binary Analysis) = Dynamic Program Analysis = Dynamic Analysis 프로그램 런타임에 바이너리를 분석한다. 소프트웨어를 실제 또는 가상프로세서에서 프로그램을 실행함으로서 바이너리를 분석하는 방법이다. Dynamic Analy..
Windows 부모프로세스가 생성하는 자식프로세스 디버깅 따라가기
Windows How to Debug Child Process ? 윈도우즈에서 자식프로세스를 디버깅하기 위해서는 디버거로 자식프로세스로 따라가주어야 한다. WinDbg의 경우에는 별도의 설정 없이 이것이 가능하지만, OllyDbg, x64Dbg에서는 Child Process 생성 후 Pending 하고 디버거 Attach 하고 디버깅을 진행하게 된다. 그럼 왜 이런 차이가 발생할까? WinDbg (The Windows Debugger) WinDbg 에서 디버깅 할때 자식프로세스를 CreateProcess 하게될 때 인자로 Debug flag 를 함께넘긴다. docs.microsoft.com/ko-kr/windows/win32/procthread/process-creation-flags?redirected..