정보보호 썸네일형 리스트형 Stack Frame Stack Frame : EBP Register를 사용하여 스택의 포컬변수, 파라미터, 복귀 주소에 접근하는 기법. Stack Frame 형태-----------------------------PUSH EBPMOV EBP, ESP ........ MOV ESP, EBPPOP EBPRETN ----------------------------- 어셈블리에서DWORD PTR SS:[EBP-4] 는*(DWORD*)(EBP-4)와 같음 Debugging option-> Anlaysis 1 탭에서 show ARGs and LOCALs in procedures 를 체크하면 가독성을 높일 수 있음 더보기 IA-32 Register IA-32(Intel architecture 32bit) 1. CPU Register 1.1 Basic program execution registers - General Purpose Registers (32bit, 8개) - Segment Registers (16bit, 6개) - Program Status and Control Register (32bit, 1개) - Instruction pointer(32bit 1개) 1.1.1 General Purpose Registers - 보통 상수/주소 등을 저장할때사용 - 각 레지스터는 하위 호환성을 위해 몇가지 구획으로 나뉨 EAX의 예를 들면 EAX : 0~31(32bit) AX : 0~15(EAX의 하위16bit) AH : 8~15(AX의 상위 8b.. 더보기 올리디버거 기본 사용법 올리디버거 기본 사용법 1. 올리디버거로 실행파일 열었을때 처음 멈춘곳이 EP(Entry Point)2. 올리디버거 단축키 - restart : Ctrl+f2 - step into : F7 - Step Over : F8 - Excute till Return : Ctrl+F9 - Go to : Ctrl+G - Excute till Cursor : F4 - BP 설정/해제 : F2 - Run : F9 - Edit data : Ctrl+E3. 올리디버거에서 API 검색 : 마우스 우측 버튼 -> Search for -> All intermodular calls4. 올리디버거에서 참도되는 문자열 리스트 : 마우스 우측 버튼 -> Search for -> All referenced text strings 더보기 ms08-67관련 패치 및 exploit 파일 더보기 Microsoft Windows Domain Name Server Service Remote Procedure Call Interface Vulnerability Microsoft Windows Domain Name Server Service Remote Procedure Call Interface Vulnerability 요 약 Bugtraq ID: 23470 Class: Boundary Condition Error CVE: CVE-2007-1748 Remote: Yes Local: No Published: Apr 13 2007 12:00AM Updated: Apr 15 2007 08:41PM Credit: The vendor disclosed this issue. Vulnerable: Microsoft Windows 2000 Server SP4 Microsoft Small Business Server 2003 Premium Edition Microsoft Sm.. 더보기 [TOOL]process explorer Process Explorer를 통한 악성툴의 진단기법 S/W 강좌 2006/12/20 11:56 http://blog.naver.com/durkins/90012168186 1 . Process Explorer - 소개 Process Explorer는 1996년 Mark Russinovich 와 Bryce Cogswell이란 분들에 의하여 만들어진 Sysinternals 이란 웹페이지를 통해 소개된 수많은 시스템 관리 도구들중 하나입니다 . 위 사이트는 2006년 7월 마이크로소프트로 합병되었으나 지금도 여전히 훌륭한 시스템 도구들을 제공하며 또 제공된 관리도구들에 대한 묻고 답하기 포럼도 개설하고 있습니다 . 2 . Process Explorer - 기본 이 채프터에서는 Process Explorer의.. 더보기 [Tool]Autoruns Title: Removing Unknown Malware using Autoruns 필자가 좋아하는 사이트 중 하나는 Sysinternals.com 이다. 이 사이트는 작지만 유용하며 강력한 공개 프로그램을 개발해서 제공하고 있다. 물론 이들 프로그램보다 기능이 강화된 프로그램은 Winternals.com 에서 상용으로 판매하고 있다. 오늘 소개하는 프로그램 역시 Sysinternals.com에서 개발, 배포하는 프로그램으로 알수 없는 백도어나 알수 없는 악성 프로그램을 제거할 때 꼭 필요한 Autoruns이라는 프로그램이다. 필자가 예전에 올린 안티 스파이웨어에 대한 벤치(I , II , III )에서 언급했듯 시스템에 백도어나 악성 프로그램이 깔렸다고 해서 큰 문제가 되는 것은 아니다. 그 이유는 간.. 더보기 [유닉스]ps 명령어 컬럼별 의미 1. ps 명령어 현재 실행되는 프로세스의 상태를 나타내주는 명령어이다. ps명령어는 기본적으로 해당 사용자 소유의 프로세스만 보여준다. 아무런 옵션을 주지 않았을 때 출력되는 필드는 다음과 같다. (출력되는 내용은 시스템마다 차이가 있다.) PID: 프로세스 아이디 TTY: 프로세스와 연결된 터미널 포트 TIME: 프로세스에서 사용한 CPU시간 CMD: 명령어ps명령어를 사용할 때 -aux 옵션을 주어서 사용하는 경우가 많은데 이 옵션의 의미는 다음과 같다. -a: 모든 사용자의 프로세스를 출력하는 옵션 -u: 자세한 정보를 출력하는 옵션 -x: 제어터미널이 없는 프로세스도 출력하는 옵션 USER: 프로세스 사용자 %CPU: CPU 사용 비율 %MEM: 메모리 사용 비율 VSZ: 가상 메모리 사용량 R.. 더보기 ani 취약점 exploit ani 취약점 exploit 더보기 자료 보호되어 있는 글입니다. 더보기 이전 1 다음