본문 바로가기

분류 전체보기153

리눅스 마스터 22 [2024.09.01] [Mail Server] 01. 관련 파일 설정 > /etc/hosts  > /etc/hostname  > /etc/sysconfig/network     실습을 진행하기에 앞서 항상 프로그램을 실행 후 방화벽을 중지시킨다  50번 서버에서의 dns 서버 주소도 50번 서버로 설정되어 있는지 확인한다  각각 호스트로 입력 시 입력한 IP 값이 나와야 되는 것도 확인해 준다  그런 다음 etc 디렉터리로 가서 hosts 파일에 IP 주소와 google.co.kr 도메인을 넣어 준다  hostname 파일에도 도메인을 입력하고 저장한다  마지막으로 /etc/sysconfig 디렉터리의 network 파일에서도호스트 이름=도메인 주소 형식으로 기입한 후 저장한다  세 개의 파일을 만들었.. 2024. 9. 11.
악성코드 분석 2 [2024.09.11]   공격자 입장에서는 정보를 수집하기 위해 최대로 하고, 방어에서는 최소로 한다  ex)  이렇게 해시 함수로 검증할 수 있다파일을 복사해도 해시 함수의 변화는 없다파일명이나 이름으로는 해시 함수에 영향이 없기 때문에 해시 함수가 동일하게 나온다파일의 데이터나 내용에 의해 파일을 검증하는 것이 무결성 해시 함수라고 생각하면 된다  분석 도구로 가장 많이 활용하는 것이 PEview와 PEiD이다  그렇기 때문에 실습 진행을 위해 VMware의 Windows 7에PEview와 PEiD를 설치했다추가로 PEstudio까지 설치하면 된다    강의 소감오늘도 악성코드에 관련된 이론 강의와 실습에 필요한 분석 도구들을 설치했다가장 많이 사용하는 것이 PEview, PEiD라는 것을 알게 되.. 2024. 9. 11.
악성코드 분석 1 [2024.09.10]   모든 악의적인 행위를 하는 코드를 악성코드라고 한다  웜은 모리스라는 3세대 해커가 발명했다바이러스와 트로이 목마의 차이점은 바이러스는 정보 유출에활용이 되지 않으나 트로이 목마는 정보 유출에 활용된다트로이 목마는 코드 자체가 웜 웨어다그렇기 때문에 둘의 치료 방법도 다르다바이러스는 백신이 있으면 치료가 가능하지만,트로이 목마는 치료가 아닌 삭제 여부를 물으며 치료할 수가 없다트로이 목마 그 자체가 악성코드이기 때문에 치료가 아니라 코드 자체의 삭제를 진행해야 된다삭제를 할 때에도 주의해야 될 점은 삭제 버튼에도 악성코드가 심어져 있다면,그 프로그램 자체도 정상 작동이 되지 않을 수도 있다 한마디로 바이러스는 기생하고 전파 능력은 없고,웜은 자생, 트로이 목마는 정보 유출도 가.. 2024. 9. 10.
리버싱 19 [2024.09.04 / 2024.09.05]   RegisterMe 파일의 경우 실행 시 이런 화면들이 나타난다  40100F에서 JE에서 JNE로 변경시키고 crack 파일을 따로 만든다  또 화면의 드래그 부분에서 오른쪽 마우스 > Edit > Fill with NOPs를 선택하고 crack 파일에 덮어씌운다  현재 확인해야 될 점은 JE를 JNE로 변경, 아래의 빨간 박스 부분 놉스로 변경시키는 것이다  그런 다음 crack 파일을 열게 되면 변경한 것들이 잘 변경되어 crack 된 상태다  carck 파일을 실행했을 때 이 화면이 나오게 된다면 성공한 것이다따로 성공 메시지가 없고 해당 메시지가 뜨면 되기 때문에 두 번의 변경으로 인해 조작하여 성공할 수 있었다 ==================.. 2024. 9. 5.
리버싱 18 [2024.09.03]   오늘 실습 진행은 reverseMe 파일로 진행한다시작하기 전에 String를 확인 시 성공 메시지가 존재하고,현재 브레이크 포인트가 걸려 있는 곳에서 시작하는 걸 알 수 있었다현재 위의 CreateFileA의 경우  실제 파일을 만들거나 열어 사용하는 명령어라고 한다결국 조건에 맞는 파일이 존재하고 있어야 실행된다고 보면 된다  각각의 부분에서 JE와 JG로 수정시킨 다음 crack 파일을 생성한다   생성한 crack 파일을 열어 실행시키면 성공 메시지를 확인할 수 있다현재의 방법을 실제로 파일을 생성하지 않고 코드 명령어만 변경하여성공 메시지를 볼 수 있도록 조작한 상태다   이번에는 실제 파일을 만들어서 진행해 보려고 한다   이번에는 ReadFile이 나오게 되는데  .. 2024. 9. 3.
리버싱 17 [2024.09.02]  언패킹을 진행한 Crackme_16_2를 진행한다먼저 지난 시간에 확인했듯이 해당 메시지가 뜨는 것을 확인한 후 강의가 끝났었다그렇기 때문에 오늘은 그 문구가 나오는 코드 쪽이로 이동하여 확인해 봤다  이쯤에서 브레이크 포인트를 걸고  전원 버튼을 누르게 되면  실행 버튼이 활성화가 된다  45621E 라인에서 JNE를 JMP로 변경시키게 되면 점프문을 이용하여코드를 다 읽지 않고 점프하게 된다두 번째 사진의 지점에서 반복문을 통해 여러 번 실행되고  마지막으로는 패스워드 입력 칸과 함께 해당 메시지가 나타나게 된다  이번에는 해당 상태에서 브레이크 포인트를 걸고  해당 사진의 부분에서도 브레이크 포인트를 걸어 위에서부터 실행하고 내려오게 되면  이런 식으로 또 다른 메시지가 나.. 2024. 9. 3.

티스토리툴바