IDA Remote Debugging을 위한 Android Emulator Network redirection
AVD를 통해 안드로이드 오픈 IDA에서 제공하는 android_server 파일을 넣은 뒤 실행 AVD에서 오픈된 포트를 통해 telnet 연결telnet localhost 5554 telnet 연결시 , 인증토큰을 찾을 수 없어 아래와 같이 메시지가 나옴 아래파일에 자신의 에뮬레이터 인증토큰파일이 존재함, 파일을 열고 인증토큰을 복사한 뒤 telnet창에서 명령을 통해 인증 수행 파일명 : c:\users\[자기계정]\..emulator_console_auth_token명령어 : auth [인증토큰] 연결한 뒤 redir 명령을 통해 특정포트의 연결을 리다이렉션 수행명령어 : redir add [type]:[external_port]:[emulator_port]ex : redir add tcp:808..
Instruction : svc 0x009f0001opcode : 0xef9f0001
1년전 쯤 사내 세미나로 진행했던 Memory Breakpointer 개발기 별로 중요한 내용도 아니고 책에도 다 나와있는 내용들이니 공유해도 될것 같아 엄청난 고민끝에 툴을 만들었더니 나뭇잎책에 이 방식이 나와있었다는 점은 함정. (그러니 여러분 책을 읽으세요 책을.) 초보 분석가들에게 도움이 되길 바람 이상 끗! 요람(CreateProcess)에서 무덤(ResumeThread)까지 from Hyoje Jo PS : 내가생각해도 난 졸라 개멍청했구나..
리눅스 랜섬웨어에 사용된 기초적인 안티 디버깅 기법
바쁜 현대인을 위한 3줄 요약ptrace system call을 통한 디버깅 여부 확인특정 함수에 시작위치에 0xCC가 존재하는지 확인드디어 리눅스 악성코드들이 안티디버깅에 눈을 뜨기 시작함간만에 리눅스 랜섬웨어가 접수되어 두뇌유희를 즐길 겸 디버거에 올렸다. [그림 1] 메인 함수 중간의 코드를은 언뜻봐도 "안녕 난 랜섬웨어고 이제부터 너희를 암호화 할꺼야" 라는 냄새를 폴폴 풍기고 있고 정작 눈을 사로 잡은건 위/아래쪽 빨간박스의 코드들이었다.어떤 함수를 거치고 나와 그 결과에 따라 exit를 시켜버리다니.. 설마해서 분석을 시작했다.sub_50091() [그림 2] 디컴파일 한 sub_500091sub_500091 함수를 디컴파일 해보면 위와 같은 코드가 나오는데.... 어떤 syscall numb..
Disk Size를 통한 VM탐지 (How to detect Virtual Machine, Feat. DeviceIoControl)
바쁜 현대인을 위한 3줄 요약 DeviceIoControl을 통해 PhysicalDrive0~2까지의 크기를 가져옴 8바이트 중 상위 4 바이트가 0x19인지 확인 () 0x19미만이면 100GB 보다 작으므로 악성동작 하지 않음 매우간단한 안티디버깅 방법이다. PhysicalDrive0~ PhysicalDrive2(CreateFileA)까지의 특정 데이터를 가져와(DeviceIoControl) 모두 곱해 더해준 다음 특정값 이상인지 확인하고 리턴한다. 좀 더 보기쉽게 코드를 정리해보자 깔끔하다. 분석을 위해 DeviceIoControl API부터 알아보자. DeviceIoControl (https://msdn.microsoft.com/ko-kr/library/windows/desktop/aa363216..
Metamorphic Code In Ransomware Nabucur - Feat. Fortinet
Fortinet 에서 공개한 metamorphic Code 가 들어있는 Ransomeware (Nabucur) 관련자료1 : https://blog.fortinet.com/2016/01/26/metamorphic-code-in-ransomware관련자료2 : https://blog.fortinet.com/2016/06/07/real-time-polymorphic-code-in-ransomware ※ Metamorphic : http://www.dbguide.net/knowledge.db?mobile&cmd=view&boardConfigUid=21&boardUid=152658 ※ 이번 포스팅에서는 악성코드의 동작에 대해서만 다룬다. 개요Nabucur는 이미지 파일을 암호화 하고 화면을 잠그는 랜섬웨어의 한..
출처 : 10 Best Changes in Ubuntu 15.04, Year’s Biggest Release http://fossbytes.com/10-best-changes-in-ubuntu-15-04-years-biggest-release/개발자를 위한 기능 강화 Android Studio, NDK 액세스 제공, 게임 개발 플랫폼인 Stencyl 발표개선된 클라우드 지원 kilo를 활용한 DVR(Distributed Virtual Routing), ZeroMQ에 대한 지원 리눅스 커널 업그레이드 3.19.3 kernelinit 메니저 변경 가능 – upstart to systemd 우분투 init 매니저 선택 가능IoT ecosystem 지원 - 스마트폰 지원 - 우분투 폰 -오피스 기능 업데이트 디..