securityfirst_jo

이가없으면 잇몸으로..우선 mac분석 기반이(맥 제품 사고싶어!!!) 없으니 윈도우에서 몇가지 보면 알수 있는 방법. 걍 winhex로 매크로 부분 확인

출처 : http://binoopang.tistory.com/145

IDA로 디버깅하다가 아주 특수한 경우에 32bit에서 16bit로 모드가 전환될 때가 있습니다. 그런데 이 때 디스어셈블 뷰에서 그걸 인식하지 못하고 16bit 어셈블리 코드를 계속 32bit로 해석할 때가 있습니다. 이렇게 되면 리버서는 점점 미쳐가기 시작합니다 -_-;; 완전 이상한 명령어를 화면에 뿌려주기 때문이죠 .. 이럴 때는 문제가 되는 그 세그먼트의 모드를 변경해 주면 아~~ 주 쉽게 해결 됩니다. 문제의 세그먼트를 Edit Segment(ctrl+s) 해주면 다음과 같은 다이얼로그가 뜨지요.

네 위 다이얼로그에서 16-bit segment 인지 32-bit segment 인지 선택해 주면 그 이후엔 선택한 모드로 해석이 됩니다. 와 .. 정말 몇 일간 이걸 몰라서 완전 고생했군요 ^^ 역시 IDA에는 생각할 수 있는 대부분의 기능들은 구현이 되어 있는 것 같습니다.

MBR 분석시 IDA로 원격 디버깅 하는방법과 WINDBG로 분석하는 방법 두가지로 동적분석이 가능하다.

출처 : http://kkamagui.tistory.com/807

MBR부터 윈도우 부팅 과정 디버깅!?!

요 몆주간 윈도우 부팅 과정(MBR부터 시작하는...)을 확인할 필요가 있어서 여러가지로 찾던 중, VMware와 IDA Pro를 이용하는 방법을 발견했습니다. 물론, 이 방법 외에도 여러 방법들이 있겠지만, VMware의 빠른 속도와 IDA Pro의 강력함이 더해지니 꽤 괜찮아서 이렇게 쓰고 있습니다. ^^;;;
(혹시 다른 방법을 알고 계시면 살짝 알려주세요 >ㅁ<)/~)

VMware에 디버그 옵션 설정하기

VMware로 생성한 가상 머신이 있는 폴더에 가보면 .vmx로 끝나는 파일이 있을 겁니다. 이 파일을 노트패드와 같은 에디터로 열면 여러 설정값들이 보일텐데, 가장 아래 줄로 이동해서 다음 3줄을 추가합니다.

debugStub.listen.guest32 = "TRUE"
debugStub.hideBreakpoints = "TRUE"
monitor.debugOnStartGuest32 = "TRUE"

위 3줄은 VMware가 디버그 포트를 열어서 GDB로 OS를 디버깅할 수 있게 하는 옵션인데요, 이 옵션을 추가한 뒤 VMware를 실행시키면 바로 시작이 안되고 그냥 멈춰있습니다. ^^;;; 까만 화면이 나오거나 아래처럼 화면 가운데에 녹색 Play 버튼 같은게 나올 수 있는데, 둘다 정상이니 걱정하지 않으셔도 됩니다.

<VMware 디버깅 대기 화면>

IDA Pro로 VMware에 연결하기

VMware가 멈춰있다면 이제 IDA Pro를 실행합니다. 그리고 메뉴의 debug -> Attach -> Remote GDB debugger를 클릭하여 VMware에 붙일 준비를 합니다. "Remote GDB debugger"를 선택하면 옵션창이 표시되는데, "Hostname" 항목에는 localhost를 입력하고 "Port" 항목에는 8832를 입력하면 접속할 준비가 모두 끝납니다. ^^;;;

<Remote GDB debugger 선택 화면>

<Debug Option 설정 화면>

"Choose process to attach to"라는 창이 뜨면 그냥 ID 0번, 즉 <attach to the process started on target>으로 맞춰주세요. ^^;;;

Happy Debugging

처음에 디버거가 붙으면 BIOS의 첫부분부터 시작이 될텐데요, 사실 BIOS의 동작은 크게 안 궁금하니 브레이크 포인트를 0x7c00에 하나 걸어주고 브레이크 포인트가 걸린 뒤부터 진행하면 MBR부터 확인할 수 있습니다. ^^

<디버깅 화면>

이제 따라가는 일(?)만 남았군요. ^^)-b
그럼 즐거운 디버깅(?) 하세요 ^^)/~

출처 : http://kkamagui.tistory.com/809

지난번에 VMware와 IDA를 이용해서 MBR부터 윈도우 부팅과정을 따라가는 방법에 대한 글을 올렸는데요, Ilho님께서 WinDBG를 이용해서 부팅과정을 따라가는 방법도 있다고 알려주셔서 실험해봤습니다. ^^

일단 디버거가 붙은 시점은 32비트 부트매니져가 시작되는 시점이더라구요. MBR부터 따라가지 못하는 점은 조금 아쉽지만... 강력한 장점은 윈도우 심볼을 로드할 수 있어서 따라가기 편하다는 겁니다. @0@)-b (llho님 감사드려요 ㅠㅠ)

VMware 설정

일단, 부팅과정을 따라가려면 VMware에 시리얼을 추가해야 하는데요, VMware의 왼쪽 편에 있는 "Edit vritual machine settings"를 클릭하여 뜬 "Virtual Machine Settings" 창에서 왼쪽 아래에 있는 "Add"을 누르면 됩니다. 그러면 "Add Hardware Wizard"창이 표시되는데, "Serial Port" 항목을 선택한 뒤"Next"를 누릅니다.

이제 시리얼 포트 타입과 옵션을 설정할 차례인데요, "Serial Port Type"은 "Output to named pipe"로 하고 "Named pipe"의 이름은 "\.\pipe\com_1", "This end is the server", "The other end is a virtual machine", "Connect at power on"로 각각 선택해주시면 됩니다(좀 항목이 많은데 아래 그림을 참고하세요 ^^;;). 그리고 시리얼 포트가 생성되면 마지막으로 "Virtual Machine Settings" 창의 오른쪽 아래에 있는 "Yield CPU on poll"을 클릭해주시면 VMware의 설정은 끝납니다.

<VMware 시리얼 포트 등록 화면 1>

<VMware 시리얼 포트 등록 화면 2>

윈도우 7 설정

다음으로... 윈도우 7에 부트 디버그 옵션을 설정해야 하는데요, cmd.exe를 관리자 권한으로 실행해서 bcdedit.exe로 옵션을 설정해줘야 합니다. cmd.exe를 실행한 다음 아래처럼 입력해주면 됩니다.

주의: bcdedit로 부트 디버그 설정을 하고 나면 재부팅 후 디버그가 붙기 전까지는 부팅 시작이 아주 늦게 시작되더군요(한 1분쯤 기다려야 부팅이 시작되었던듯...). ㅠㅠ 실제로 사용하시는 윈도우에 실험삼아 하셨다가는 큰일이 날수도 있으니 주의하시기 바랍니다. ㅠㅠ

bcdedit /bootdebug {bootmgr} on
bcdedit /bootdebug on
bcdedit /debug {bootmgr} on 
bcdedit /debug on 
bcdedit /set {bootmgr} debugtype serial
bcdedit /set {bootmgr} baudrate 115200
bcdedit /set {bootmgr} debugport 1

그리고 재부팅을 하면 부팅이 시작되지 않고 디버거가 붙기를 기다립니다. 이제 WinDBG만 설정해주면 디버깅 준비가 모두 끝납니다.

WinDBG 설정

WinDBG는 마이크로소프트에서 제공하는 디버거로 유저 모드 디버깅과 커널 모드 디버깅을 모두 지원합니다. 그리고 윈도우 자체를 디버깅할 때 심볼을 자동으로 로드해주는 강력한 기능이 있기 때문에 윈도우를 분석하는데 정말 좋은 툴이라고 생각합니다. ^^;;;

WinDBG는 마이크로소프트 사의 페이지에서 다운받을 수 있으며, 다운 받은 설치 파일을 실행하면 끝납니다. 설치가 끝나면 이제 옵션을 주어 VMware의 시리얼 포트와 연결되도록 해야 하는데요, 먼저 windbg.exe 파일을 끌어서 바로가기를 만듭니다. 그리고 속성을 클릭해서 아래 화면처럼 대상의 내용을 수정해 줍니다. -k부터 주욱 입력해주시면 됩니다. ^^;;;

C:\WinDDK\7600.16385.1\Debuggers\windbg.exe -k com:port=\\.\pipe\com_1,baud=115200,pipe,reconnect

<WinDBG 설정 화면>

자, 입력까지 끝났으면 이제 바로가기를 클릭하여 windbg를 실행합니다. 그러면 창이 뜨고 아래처럼 "Waiting to reconnect..."라는 메시지가 표시될 텐데요, VMware를 시작하면 디버거가 연결되고 윈도우가 실행됩니다. 이 상태로는 원하는 부트 디버깅을 할 수 없으니 WinDBG 창에서 Control+break를 눌러서 중단 시킵니다. 그리고 아래로 넘어가서 심볼 경로 설정과 브레이크 포인트 설정을 해줍니다.

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...

WinDBG 심볼 설정 및 브레이크 포인트 설정하기

그럼 먼저 심볼을 로드할 수 있게 설정해보겠습니다. 심볼 경로는 "File" -> "Symbol File Path"를 클릭해서 지정해 줄 수 있으며, 아래처럼 입력해주면 웹에서 찾아 알아서 심볼을 다운로드 해줍니다. 굳이 윈도우 버전에 따라서 심볼을 찾느라 고생하지 않아도 된다는 거지요. ^^;;;

srv*c:\symbols.pub*http://msdl.microsoft.com/download/symbols

심볼 경로를 지정해줬으니 이번에는 bootmgr부터 디버깅을 하기 위해 WinDBG의 커맨드 창에서 아래처럼 입력해줍니다.

sxe ibp
sxe ld:bootmgr

다 입력했으면 VMware를 재시작 한 뒤에 WinDBG의 커맨드 창에서 .restart를 입력해서 재시작합니다. 그리고 잠시 기다리면 VMware와 연결되서 bootmgr부터 디버깅이 가능합니다. ^^)-b

<Bootmgr 디버깅 화면>

그럼 즐거운 디버깅(?)하세요 ;)

참조 : http://kyaru.blog.me/130158233727

[1. 자주 쓰이는 악성코드 분석툴]

[2. 온라인 바이러스 스캐너 및 분석도구]

[3. 악성코드 유포 주소 확인 및 샘플 공유사이트]

[4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들]

[5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트]

[6. 문서파일관련 악성코드 분석자료]

[7. 그외 공개되어 있는 악성코드 분석 도구들]

[8. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트]

난 Perl 몰라..ㅠㅠ 스크립트 언어 이번년도 하나 추가 해야하는데..ㅠㅠ 씨도 잘해야하는데..ㅠ

http://vxnetw0rk.ws/#news

mac malware source 인듯....

하지만 난 mac 개발을 안해봐서 패스~

Malcode.Mac.zip

혹시 몰라 자료만 남겨놓는다..엄한데 쓰면 경찰서가니...그럴분들은 없을거라 믿습니다