Like Goseungduk

보호되어 있는 글입니다.

#WASM #Web Assembly #웹어셈블리 웹 브라우저에서 js 가 아닌 코드가 컴파일 되어 실행되는 컨셉이다. wasm 은 브라우저에서 text format 으로 나타내어 보여준다. 개인 공부용으로 해당 text format 의 명령어나 문법을 간략히 정리해본다. (module ... )(module ... ) 안에는 해당 웹어셈 프로그램에 쓰인 요소들이 들어간다. 안에 들어가는 요소는 func, global, memory, table, 등등이 있다. (;0;) (;1;) 그리고 위와 같이 각 요소들은 순서에 따라 서수(ordinal)를 갖게된다. (0번 요소, 1번 요소 , ...) (func $함수변수이름 (;0;) (export "사용할 함수이름") (param $인자로 쓰이는변수 i32) ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

#Process Hollowing #Malware - Process Hollowing 이란? Process Hollowing 은 간략히 설명하면, 정상적인 타겟파일을 suspended 상태의 프로세스로 실행 시킨 다음, 해당 프로세스 안에 악성코드 데이터를 삽입시키고 suspend 상태를 해제함과 동시에 악성코드를 정상 프로세스로 둔갑시켜 실행시키는 방식이다. CreateProcess -> NtUnmapViewOfSection -> VirtualAlloc -> WriteProcessMemory -> SetContextThread -> ResumeThread 의 흐름으로 진행된다. - 예제로 보는 Process Hollowing - OS 환경 Windows 10(x86) - 소스 #include #incl..

보호되어 있는 글입니다.

#CSP #Content-Security-Policy #Web 공격자가 xss 로 웹에 허용되지 않은 script 를 삽입하거나 외부페이지에 혹은 외부페이지로 부터 HTTP 요청 을 보내는 것을 막을 수 있도록 Response Header 에 마련된 정책이다. CSP 는 웹 서버에서 Content-Security-Policy 헤더를 리턴하도록 해야 사용가능하다. (PHP, Python 등에서) 혹은 정적인 html 페이지에서 태그를 활용할 수도 있다. 아래는 예제 코드 1. 실행가능한 소스, 함수 등을 제한하여 외부의 XSS 방지 2. 외부 -> 웹페이지로 로드 되는 URL, Protocol 등을 제한하여 패킷 스니핑 공격 방지 실제 사용사례 위 html 태그에서 보이듯이 content 값에 따라 무언가..

#리소스 분석 API #FindResource #LoadResource #LockResource #SizeOfResource 악성코드에 리소스를 심어서 숙주파일을 뽑아내어 실행시키는 악성코드를 분석해보았다. 관련 API가 빈번히 나오는 것 같아서 정리해본다. 1. HRSRC FindResource( HMODULE hModule, LPCSTR lpName, LPCSTR lpType); #include 로 불러올 수 있다. 껍데기 파일에서 숙주 파일인 리소스를 찾는 함수이다. 인자들의 조건이 맞아떨어지면 리소스 정보 block 에 대한 핸들 을 리턴한다. Return value 에 대한 msdn 설명 Type: HRSRC If the function succeeds, the return value is a ..

보호되어 있는 글입니다.

#ProcessMonitor #VMware #ProcMon Win7 Ultimate x64 버전이 깔린 VMware 에서 Process Monitor 가 실행이 원활히 안되었다. 해당 오류창을 뿜뿜 뿜어냈는데, 알아보니 윈도우 7 특정버전의 보안업데이트가 미비하여 실행이 안되는거라고... 아래 링크 파일 해당 VM 에서 실행시키면 된다. Download Security Update for Windows 7 for x64-based Systems (KB3033929)