전체 글 (26) 썸네일형 리스트형 Contact : 글쓴이에게 연락하는 방법 E-MAIL : traitor0213@gmail.com PHONE : 010-7426-0213 WebRemoteDesktop (WRD) 서버 구현 과정 1. 언어의 선택 과정 2. 라이브러리의 선택 과정 3. 설계 과정 4. 코드 리뷰 언어의 선택은 고민이 깊지 않았습니다. HTTP 프로토콜의 저수준 프로그래밍이 필요할 것이라고 예상했고, Windows OS 가 아닌 플랫폼에 이식해야 하는 경우도 예상해야 하기 때문에 C++과 Python 중 골라야 했지만 C++ 은 OS API preprocess, wrapping을 해야 했기 때문에 개발기간이 매우 길어질 것으로 예상하여 Python으로 개발을 결정했습니다. 라이브러리의 선택또한 개발 언어로 Python을 채택한 덕분에 수월한 편이었습니다. Python 외부 라이브러리는 다음과 같이 사용했습니다. 설계 과정은 많은 고심이 있었습니다. 최대 접속자 수는 얼마나 정해야 하는가부터, 키보드와 마우스 이벤트.. 프로그램 외주 계약서 포맷 보호되어 있는 글입니다. 2020 국방부 사이버 작전 경연대회 본선 후기 예선은 팀원이 문제를 풀어주어서 간신히 통과했다. 그렇게 본선에 들어가게 되었다! 본선은 09시에 시작하여 21시에 끝난다. 또한 예선은 온라인으로 진행이 가능 했었지만 본선은 필수적으로 오프라인으로 팀원이 모여서 진행하여야 한다. 내가 들어가있는 SHASHASHA팀은 을지로 wework를 대여해서 대회 장소로 사용했다. 나는 수원에서 살기 때문에 아침 기차를 타고 본선 장소로 향했다. 그렇게 wework에 들어가서 팀원을 만나고 문제를 풀다가 국방부에서 보내준 후드를 공무원으로 추정되는 분께서 들고 와주셨다. 후드가 정말 마음에 들었다. 그렇게 후드까지 받고 본격적으로 우리는 문제를 잡고 풀기 시작했다. 나는 윈도우 리버싱에 치중하여 공부 했기 때문에 문서형 악성코드 문제를 잡고 풀기 시작했다. 문제 .. About process hollowing process hollowing (프로세스 할로윙)은, 악성코드가 탐지를 회피하기 위해 사용하는 방법으로, 탐지 솔루션이 well known process는 검사를 하지 않는 점을 이용하였다. 탐지 솔루션은 다음과 같은 구조로 설계 되었다고 추측한다. 실제 탐지 솔루션의 코드를 볼 수는 없었기 때문에, 순수히 추측을 통해서 만든 자료임을 참고 해 주었으면 한다. Well known은 explorer, winlogon같은 process가 존재하고 Unknown은 DB에 없는 process나, cmd와 같이 악용 가능한 process가 검사목록에 존재한다고 가정한다. 다음과 같이, 검사 대상이 비 검사 대상을 실행하는 구조일때, 비 검사 대상은 당연히 검사 목록에서 제외된다. 이 점을 이용하여 솔루션의 감시.. 해킹의 방어에 대한 개인적인 생각 해킹을 위해서 3가지의 조건이 필요하다. 1. 가치 2. 접근성 3. 지속성 가치는, 해킹의 목적이 해커에게 가치 있어야 한다. 접근성은, 지속적인 해킹 시도를 가능하게 해준다. 이는 해킹에 있어서 매우 중요한 요소이다. 여러가지 인자값, 환경에서 많은 시도 이후 성공해내는게 해킹이기 때문이다. 지속성은 가치와 접근성이 지속적인가에 초점이 있다. 해킹에 성공했다고 하더라도 해당정보가 10초만에 가치가 사라지거나, 접근되는 정보가 매번 바뀐다면 해커는 해킹에 흥미를 잃게 될 것이다. 이로써 해킹이라는 행위 이전에 해커또한 사람이라는 점을 이용하여 방어하는 방법의 잠재성을 알 수 있다. 기술적으로 아무리 아름답게 막더라도, 결국 시간이 지나면 해커는 우아하게 보란듯이 해킹한다. 하지만 해커라는 사람을 기만한.. 정보보호 동아리 연합 세미나 발표 후기 2020년 7월 28일에 PE 구조 분석, 윈도우 운영체제 구조에 대하여 울산권역 대학교에서 발표하게 되었다. 이전에, 다른 스터디에서 발표를 진행한 다음 추천받은 발표이기에 더 의미가 깊었다. 필자는 수원에서 거주 중이지만, 발표장소는 울산이라서 기차를 타고 이동했다. 수원역에서는 ktx가 없어서 환승을 위해 대전역에서 ktx를 기다리고 있었다. ktx타고 울산역 도착! 지인과 합류 이후 발표장소로 간다 발표를 진행하게 될 장소이다 ! 이렇게 큰곳에서 발표 하게 될 지 예상하지 못해서 놀랐다 ㅎㅎ 사진은 동현이형이다. 수학잘하는 변태다. 위의 사진은 발표하는 본인이다 ㅎㅎ 많이 긴장되었지만 나쁘지 않게 발표했던것 같다. 돌아가는 기차는 특실로 끊었다. 비가 참 예쁘게 내리더라 ㅎㅎ 이렇게 2틀간의 일정.. Tasklist process list manipulation! 이전 연구에서는.. 작업관리자 (Taskmgr.exe)를 후킹하여 process를 은닉함 이번 연구에서는.. 숨기고자하는 process가 tasklist에서는 은닉되지않았기때문에, 연구를 진행 이전 연구의 성과 return to ntdll 이전에, 코드를 인젝션하여 return buffer를 조작하는 방법을 사용했음 이전 연구의 문제점 ntdll!NtQuerySystemInformation API를 해당 프로세스에서 사용하지 않는다면, 또는 kernel memory 를 직접 읽는다면 은닉을 회피할 수 있음 이번 연구의 성과 tasklist도구를 사용하면 이전 연구의 문제점이 보인다. 후킹이 진행되더라도 운영체제에게 간접적으로 요청하는 경우, 또는 kernel memory를 직접 읽는 경우 은닉하지 못하는.. 이전 1 2 3 4 다음
