mbr 바리어스의 Xpaj 에 관한 정보

분석/악성파일 분석
posted by 블르샤이닝 2012. 5. 3. 14:23
728x90
mbr 바리어스의 Xpaj  에 관한 정보
http://contagiodump.blogspot.com/2012/05/mbr-rootkit-xpaj-sample.html



http://labs.bitdefender.com/2012/04/xpaj-the-bootkit-edition/

728x90
저작자표시 비영리 변경금지

'분석 > 악성파일 분석' 카테고리의 다른 글

망할 ngr!!!!안보이잖아!!! 왜 바로 코드가 보여!!ㅠㅠ  (0) 2012.06.21
A look at object confusion vulnerability (CVE-2012-0779) in Adobe Flash  (0) 2012.05.15
파일 시그니처 모음 (Common File Signatures)  (0) 2012.04.05
js 언팩킹 풀어보기!~  (0) 2012.02.09
Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit  (2) 2012.02.09

망할 짱개 해커들!!!!

일상
posted by 블르샤이닝 2012. 5. 2. 18:14
728x90

게임계정탈취유형이 점점 예술적으로 바꾸는구나!!!!!


wshtcpip.dll  바꾸면서 sys 파일은 왜 떨구는데 이제!!!훗 점점 난이도 높이고...이젠 페이크 서버 리스트까지 넣어두다니 ㅋㅋ 


망할 ㅋㅋ 실력 한번 좋군..ㅋㅋ 

728x90
저작자표시 비영리 변경금지

'일상' 카테고리의 다른 글

vm에 mac을 깔아보자~~두두두둥  (0) 2012.07.07
브라우저 북마크 동기화 안될때 꽤 좋을듯.....ㅠㅠ  (0) 2012.06.26
포토스케이프(PhotoScape) -재미있는 사진편집 프로그램  (0) 2012.03.28
위닝카오스  (0) 2012.01.15
무슨 해킹 그룹 채팅  (0) 2011.12.15

[한양대 문서] 악성코드 수집 및 자동분석 기술, 악성코드 내부 코드 자동 역공학 분석방법

그외 해킹기술
posted by 블르샤이닝 2012. 4. 30. 14:41
728x90

한양대에서 프로젝트로 한 문서인것같다. 구글링에서 나오는거보니...배포할 마음으로 구글링에서 검색되게 한것으로 판단되어 공개합니다


하나는 수집방법에 대한 글, 하나는 타 회사에서 분석한 보고서를 정리한 것 같습니다. 둘다 깔끔하게 정리된것같아 만족합니다>_<


[한양대]_악성코드_수집_및_자동분석_기술_성.pdf


악성코드_내부코드_자동_역공학_분석방법_연.pdf


728x90
저작자표시 비영리 변경금지

'그외 해킹기술' 카테고리의 다른 글

WhoisAutoit 빠르게 확인하는법  (0) 2013.07.12
Ongoing attacks exploiting CVE-2012-1875  (0) 2012.06.14
정확히는 기억안나지만 cmd명령어를 통한 쉘 실행인걸로 기억하는데;  (0) 2012.04.10
Stickey Local Backdoor  (0) 2012.02.23
From 0x90 to 0x4c454554, a journey into exploitation.  (0) 2012.01.24

GetModuleHandle 과 LoadLibrary

카테고리 없음
posted by 블르샤이닝 2012. 4. 26. 09:28
728x90

GetModuleHandle 과 LoadLibrary 

[출처] GetModuleHandle 과 LoadLibrary|작성자 분발하자



GetModuleHandle은 그리 접할일이 많지 않은 함수이다.  우선 모듈이라는 말은
간단히 함수들의 집합이다.  특정일을 처리한다는 객체의 개념으로 해석할 수도 있다. 다른 공학에서는 모듈이 있지만 역시 기능을 모아 놓았다는 비슷한 뜻이다.  함수들의 집합이라고 해도 아직 좀 막연한데 윈도우 내에서는 구체적인 예로 DLL이나 EXE 파일이 있다


MSDN 에 의하면 GetModuleHandlle은 모듈의엔트리 포인트를 넘겨주는 함수이다.


엔트리 포인트는 Base Adress이다 C 프로그램의 엔트리 포인트는  main 이요, 윈도우 프로그래밍의 엔트리 포인트는 WinMain  이 아닌가. 물론 관점에 따라 스타트업 코드를 엔트리 포인트라고 할수도 있다.


 HMODULE GetModuleHandle ( LPCSTSTR lpModuleName );



lpModuleName 에 dll 이나 exe 파일 이름을 넘겨주면 모듈에 대한 핸들 을 리턴하는 것이 아니라 실제 리턴값은 베이스 주소 값을 넘겨준다. 결국 GetModuleHandle 은 dll 과 exe 의 베이스 주소를 리턴하는 함수이다.  


 LoadLibrary  역시 같은 기능을 하지만 레퍼런스 카운팅 ( referencing counting ) 을 하느냐 안하냐의 차이점이 있다. 

 

 LoadLibrary  의 경우 레퍼런스 카운트를 올리지만   GetModuleHandle 은 올리지 않는다 그러므로

단순한 값만 참조할때는 GetModuleHandle 을 실제 지속적으로 사용하기 위해서는 LoadLibrary 를 사용한다.


출처 : http://blog.naver.com/pwk0810?Redirect=Log&logNo=40131525623

[출처] GetModuleHandle 과 LoadLibrary|작성자 분발하자

728x90
저작자표시 비영리 변경금지

윈도우 시스템파일들.

시스템 해킹
posted by 블르샤이닝 2012. 4. 25. 15:20
728x90
퍼온거임 출처는 기억안남~ 알려주시면 달겠습니다 ^^

 1. Ntoskrnl.exe
 - 실행부와 커널

 

  

2. Ntkrnlpa.exe

-   64GB까지의 물리적 메모리 주소를 허용하는 메모리 관리 실행부와 커널

 

  

3.  Hal.dll

-   시스템에 설치된 하드웨어를 XP에서 제어하도록 장치 드라이버를 추상화

 

  

4. Win32k.sys

- Win32 서브 시스템의 커널 모드 부분으로,

   디스플레이를 제어하고 키보드, 마우스 밑 다른 장치들에서 입력된 메시지를 모아 응용 프로그램에 전달하는 역할
 

  

5. Ntdll.dll

- 서브 시스템을 위한 각종 DLL 파일을 실행시키기 위한 특별한 시스템 지원 라이브러리

 

 

 6. Kernel32.dll

   Advapi32.dll

   User32.dll

   Gdi32.dll

-   32비트 윈도우용 응용 프로그램을 지원하는 핵심 API를 구원하는 DLL 파일들.

728x90
저작자표시 비영리 변경금지

'시스템 해킹' 카테고리의 다른 글

windows 8 의 보안기능  (0) 2012.09.12
WRITING A BOOTLOADER  (0) 2012.05.03
CVE-2012-0056 Linux Kernel >=2.6.39 local root by zx2c4 works epicly  (0) 2012.01.24
Debuggers Anti-Attaching Techniques - Part 1  (0) 2011.12.15
Kernel Mode Driver Development Kit for MASM32 programmers  (0) 2011.12.15

티스토리툴바