Reverse Engineering++ For Exploit Analysis 트레이닝 설명

리버스 엔지니어링은 엔지니어링 과정을 거꾸로 되짚어 어떠한 메커니즘이 작동하는 원리를 연구하는 엔지니어링의 한 분야라고 볼 수 있습니다. 언제 리버스 엔지니어링이 필요할까요? 리버스 엔지니어링은 주로 설계도가 없는 상태에서 하드웨어 메커니즘을 연구하여 비슷한 물건을 만들어 내기위해서 사용되어 왔습니다. 전통적으로 소프트웨어 세계에서의 리버스 엔지니어링은 상용 어플리케이션의 라이센스 메커니즘이나 보호 메커니즘을 깨기 위해서 많이 연구 되어 왔습니다. 익스플로잇 개발을 … Continue reading Reverse Engineering++ For Exploit Analysis 트레이닝 설명

웹센스에서 작성했던 블로그 모음

그 동안 웹센스에서 작성했던 블로그들 링크 들. EUSecWest 2010 Wrap-up - Security Labs Having fun with Adobe 0-day exploits - Security Labs De-obfuscating the obfuscated binaries with visualization - Security Labs Extracting Malicious Codes from the Process Memory: ZeuS Case - Security Labs Analyzing Malwares Using Microsoft Tools - Security Labs Having fun with Adobe … Continue reading 웹센스에서 작성했던 블로그 모음

삼국지

유비가 치명적인 부상을 당한 것은 적의 진영을 향해 공격을 진행하는 중이었다. 사실 전세는 유비 진영에 유리하게 전개 되고 있었다. 하지만 그만 도중에 유비는 적병의 화살을 맞고 말았다. 그의 상태는 부하들에게는 비밀에 부쳐졌다. 오직 전속 의관과 장비와 관우만이 그 사실을 알고 있었다. 한눈에 보아도 출혈이 너무 심했고, 그의 목숨은 얼마 남지 않았음을 알 수 있었다. 이제 … Continue reading 삼국지

바이너리 디핑 도구: 다른 그림을 사용한 리서치

Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications 에서 마이크로 소프트 패치를 분석하기 위하여 다른 그림을 사용했습니다.We can use off-the-shelf tools to identify the vulnerability point and the added checks. In our implementation, we use EBDS [13], a tool that automatically compares two executables and reports the differences.

ActiveX 모니터링툴

COMSpy라고 ActiveX 취약점을 계속 연구하던 한 연구자가 나에게 알려 준 툴이 있다. 물론 그 당시 이미 COM 관련 DLL을 후킹하여 메쏘드와 인자들을 모니터링하는 방법을 이미 알고 있었지만 “proprietary code”이다.COMSpy는 오픈소스로서 COM 내부가 어떻게 돌아 가는지, 후킹은 어떻게 하는지 조금 오래되고(마지막 업데이트가 99년) 복잡한 방법을 사용하기는 하지만 좋은 방향을 제시해 준다. 레지스트리를 수정해서 자기 자신의 dll을 … Continue reading ActiveX 모니터링툴

파쇄문서 이어 붙이기

종이책 WIRED를 읽다가 발견한 흥미로운 기사입니다. 웹에도 올라 와 있더군요. How the CIA Used a Fake Sci-Fi Flick to Rescue Americans from Tehran 80년대 이란 사태(?) 때에 대사관 직원들의 위장 탈출을 다룬 글인데, 무슨 영화를 만들어도 될 내용이군요. 그런데 내용을 읽다가 정말 재미 있는 내용 하나를 발견했습니다. They had even hired teams of carpet weavers … Continue reading 파쇄문서 이어 붙이기

Windows Vista Kernel Remote Debugging 팁들(Tips)

Vmware에서 윈도우즈를 리모트 디버깅하기 위한 방법은 Lord Of Ring0: Driver Debugging with WinDbg and VMWare에서 소개 되었다. 필자도 해당 방법을 통해서 드라이버 개발과 디버깅 시에 많은 수고를 덜어 왔다. 하지만 몇달전 Vista에서 드라이버 개발을 처음 시작할 때에 가장 황당했던 것이 리모트 디버깅의 세팅이었다. 간단하게 boot.ini에서 다음 스트링을 추가해 주면 되었던 것이 복잡한 명령어들을 사용하도록 바뀐 … Continue reading Windows Vista Kernel Remote Debugging 팁들(Tips)

인터넷 개인 정보 뒷조사 도구-말티고(Maltego)

 2007년 블랙햇에서 잠시 소개 되었던 Paterva라는 툴이 Maltego라는 이름으로 다시 나왔다.GUI와 웹인터페이스 버전이 존재하는데 GUI는 다음과 같은 모습을 띄고 있다.하지만 현제 GUI 버전은 잠시 중지 된 듯하다. 잠시 사용해 보니 검색 기능이 너무 강력하다 못해 위험한 수준이다. 오용되면 상당한 문제를 일으킬 만한 툴이다. http://www.paterva.com/web/Maltego/

Multiple Vulnerabilities in CA ARCserve for Laptops & Desktops

아주 오래전 우연히 발견한 버그...http://research.eeye.com/html/advisories/published/AD20070920.html거의 일년이 다되어서 포스팅 된듯하다.간단히 퍼저를 만들어 보자면 다음과 같다.#CA BrightStor LGServer.exe Fuzzerimport osimport sysimport socketimport reimport time def MakeCommandStr(command,arguments):  body=command  for argument in arguments:   body+="~~"+str(argument)  return "%.10d"%len(body)+body def FuzzyCommand(target,command_info): debug=2 sockAddr = (target, 1900) tsock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) tsock.settimeout(3) tsock.connect(sockAddr) packets=[] packets.append(MakeCommandStr(command_info[0],["A"*3000])) for packet in packets:  if debug>0:   print "="*80   print "Sending: ",packet  tsock.send(packet)  response = tsock.recv(1024)  if … Continue reading Multiple Vulnerabilities in CA ARCserve for Laptops & Desktops

Basic NTLMSSP Parsing SchemeLMO TypeNTLMSSP Message

Basic NTLMSSP Parsing Scheme LMO Type Field Name Length Value Length USHORT Length of the message Maxlen USHORT Maximum length of the message Offset DWORD Offset of the start of the message NTLMSSP Message Field Name Length Value NTLMSSP identifier Fixed: 8 Ascii "NTLMSSP"+0x0 NTLM message Type DWORD Lan Manager Response LMO Type Binary NTLM … Continue reading Basic NTLMSSP Parsing SchemeLMO TypeNTLMSSP Message