728x90 반응형 Security18 [DreamHack] Broken Password #634 int __fastcall main(int argc, const char **argv, const char **envp){ int fd; // [rsp+Ch] [rbp-44h] _QWORD *v5; // [rsp+10h] [rbp-40h] BYREF __int64 v6; // [rsp+18h] [rbp-38h] BYREF char s2[40]; // [rsp+20h] [rbp-30h] BYREF unsigned __int64 v8; // [rsp+48h] [rbp-8h] v8 = __readfsqword(40u); proc_init(); fd = open("/dev/urandom", 0); read(fd, password, 8uLL); close(fd); puts("can u gues.. 2024. 6. 14. 한미우호협회 사칭 hwp 악성 파일 분석해보기 (EPS, 코드 인젝션) 분석 환경OS: Windows 7한컴오피스 한글 2014 파일 정보MD5: f2e936ff1977d123809d167a2a51cdebSHA256: 5d9e5c7b1b71af3c5f058f8521d383dbee88c99ebe8d509ebc8aeb52d4b6267bType: Hangul Word Processor document (hwp)Size: 47.5KB (48,640 Bytes) 기초 정적 분석VirusTotal에서 hwp파일을 업로드해 기초 정적 분석을 진행할 수 있다. MS 오피스의 매크로 기능과 유사하게 한글에서도 OLE 개체를 삽입할 수 있다.한글 2018 아래 버전의 경우 OLE 개체를 악용하여 피해를 발생시킬 수 있다.북한 등에서 우리나라 외교 및 안보 공직자나 대북관련 종사자들을 .. 2024. 5. 25. 2024 5월 Space War Web WriteUp HSpace 카카오톡 공지방에 공지 뜨길래 심심해서 참가해봤다. 조빱이라 꽁으로 주는 한 문제랑 3문제 풀었다.Scroll_Masterjelly shopExec Anything Scroll_MasterInspired by Click Master, I created Scroll Master. Please continue scrolling the mouse. 문제 설명만 봐도 알 수 있듯이 그냥 스크롤 엄청 하면 풀리는 것 같다. 개발자 도구로 소스 코드 보면 스크립트 볼 수 있는데 난독화가 되어있다..그냥 스크롤하면 될 거라 믿고 가보기로 한다. 클릭하는 문제만 풀어봐서 개발자 콘솔에서 js로 매크로 짜서 하려고 했는데 내 검색 실력으로는 아무리 찾아봐도 스크롤 이벤트를 발생시키는 간단한 js코드를 찾.. 2024. 5. 12. [Lab 3-1] Practical Malwware Analysis WriteUp Lab 3-1Lab03-01.exe 추억의 딸깍 소리 들어가며 윈도우 7 감성에 젖어가며 툴들 다 깔고 스냅샷까지 찍어놓고 문제 풀기 시작했는데윈7에서는 주어진 exe 파일이 0xc0000018 오류로 안 열린다.. 윈7 이미지 파일 구하고 다운하는 것도 엄청 오래 걸렸고 툴 전부 설치하고 오류 해결하는 데에 하루 걸렸는데 너무하다..결국 윈XP로 다시 처음부터 시작해야 했다.. Questions1. What are this malware’s imports and strings?Dependency Walker에서는 ExitProcess 함수만 확인할 수 있다.애초에 패킹되어 있어서 그런가보다..동적 분석을 통해서 분석하라는 의도인 것 같다.Strings 확인할 수 있다.그냥 봐도 수상한 것들이 많이 보.. 2024. 5. 11. . 보호되어 있는 글 입니다. 2024. 5. 4. [Lab 1-4] Practical Malware Analysis WriteUp Lab 1-4Lab01-04.exe Questions1. Upload the Lab01-04.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?이젠 VirusTotal에 안 걸리는게 이상할 정도다.이번에도 61개로 꽤 많이 걸린다.. 2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.Hell YeahLab 1-3 에서는 fsg 패킹 푸느라 시간 엄청 썼는데 이번 문제는 패킹이 안 되.. 2024. 5. 4. [Lab 1-3] Practical Malware Analysis WriteUp Lab 1-3Lab01-03.exe strings, imports 이런 거 다 IDA 한곳에서 쉽게 찾을 수 있는데 프로그램 여러 개 띄워놓고 분석하는게 간지니까 이렇게 하겠다. Questions1. Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it matchany existing antivirus definitions?당연하게도 걸린다.이전 Lab 1-1이나 Lab 1-2에서 준 바이너리보다 더 많이 걸리는 것 같다. 2. Are there any indications that this file is packed or obfuscated? If so,what are these indicators? If the file is .. 2024. 5. 3. [Lab 1-2] Practical Malware Analysis WriteUp Lab 1-2Lab01-02.exe Questions1. Upload the Lab01-02.exe file to http://www.VirusTotal.com/. Does it matchany existing antivirus definitions?VirusTotal에 당연히 걸린다. 2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.PEiD에서 UPX로 패킹되어 있는 것을 확인할 수 있다.일반 탐색으로는 Nothing Found로 나오지만, 하드코어 탐색을 할 경우 UPX로 패킹되었음을.. 2024. 5. 3. [Lab 1-1] Practical Malware Analysis WriteUp Lab 1-1Lab01-01.exeLab01-01.dll Questions1. Upload the files to http://www.VirusTotal.com/ and view the reports. Does either file match any existing antivirus signatures?두 파일 모두 VirusTotal에서 걸린다. 2. When were these files compiled?VirusTotal에서 확인해보면 Lab01-01.exe와 Lab01-01.dll 두 파일 모두 2010년 12월 19일 16시 16분에 컴파일되었다.PEview에서도 확인할 수 있다. HxD에서도 PE 헤더 부분을 확인할 수 있는데 각각 16진수로 변환하면 0x4D0E2FD3, 0x4D0E2F.. 2024. 5. 2. 이전 1 2 다음 728x90 반응형
