'리버싱' 태그의 글 목록 (3 Page)

중국발 문서형 이력서 악성코드 - 1. 드로퍼&매크로편

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware : fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 문서형 악성코드이다. 이전에 설명한 Template Injection 이 아주 잘 이용된 표본이라고 할 수 있다. 악성 매크로가 있는 dotm 템플릿 매크로 파일을 http://xiao..

<악성코드 분석공부>/<RealSample> 2022.01.29

Cyberchef online - 데이터 변환, 디코딩/인코딩

https://gchq.github.io/CyberChef/ 싸-이버 쉐프라는 데이터 변환전용 서비스이다. 굳이 파이썬으로 악성코드 데이터? 를 변환할 필요없이 여기다 올리면 딱딱 변환된다. 편리한듯. 사용예시) 사진 처럼 Recipe 탭에 어떤 데이터로 부터 무엇으로 변환할 것인지 function 들을 가져다 놓고 Input 에 데이터를 넣으면 알맞게 변환된다. 끝.

<악성코드 분석공부>/<여분지> 2022.01.07

[게임핵개발연습#4] 게임에선 좌표계산이 어떻게 될까? - 2. screen상의 오브젝트 위치 표시하기

#게임핵 #AssaultCube #ESP #OpenGL 지난 게시글에서 나의 시점을 표시하는데에 관여하는 MVP Matrix 값을 메모리 상에서 View Matrix 의 변화를 통해 찾아보았다. 이번 시간에는 우리가 구한 MVP Matrix 값과 다른 Player 의 좌표 값을 이용하여 상대가 정확히 어디에 있는지 벽너머에서도 보이게 표시해보도록 하겠다. 그전에 OpenGL 에서 오브젝트가 우리가 보는 평면 2D screen 상에 어떻게 그려지는지에 대한 과정을 알아보도록 하자. 위 사진은 OpenGL 렌더링 파이프라인 에서 정적인 3D 좌표가 2D 스크린을 통해 우리 눈으로 들어오기까지 과정을 여러 행렬과 함께 간략히 나타낸 것이다. OpenGL API 상에서는 각 Coordinates 에 대해 변환을..

<보안 study>/리버싱 2022.01.04

[게임핵개발연습#3] 게임에선 좌표계산이 어떻게 될까? - 1. viewMatrix 찾기

#AssaultCube #게임핵 #ESP #OpenGL 여태까지는 나 자신, 개인 플레이어에 대한 핵을 알아보고 만들어봤다. 사실 이 방법들은 온라인 상에서하는 MultiPlay 방식에선 1도 먹히지 않는다.(단, 수류탄 개수, 총알 개수 같은 일부 기능은 먹힌다) 아마 추정컨데, 체력이나 여러 정보를 여타 FPS 들 처럼 서버를 통해 관리하기 때문이 아닐까 생각한다. 그러나 우리의 최초 목표와 같이 다른 적들과 같은 팀원들의 정보는 서버에서 결국 내 PC 로 받아오는 구조가 될 수 밖에 없기에 메모리 어디엔가는 적들과 팀원들의 정보가 저장되어있을 것이다. 그러면 이 정보를 이용해서 적들의 현재 위치, 체력은 얼마인지, 총알은 얼마나 남아있는지 정도는 알 수 있지 않을까? 그것이 바로 ESP 핵 이다. ..

<보안 study>/리버싱 2022.01.03

[게임핵개발연습#2] Local Player Object 베이스 주소 찾기

#AssaultCube #게임핵 #ESP Assault Cube 를 이용한 게임핵 개발 연습 시작. 목표는 Single Play 뿐만이 아닌 Multi Play 에서도 사용할 수 있는 ESP 핵을 만드는 것이다. ESP 핵 중에서도 상대 player 의 체력과 위치가 표시되는 월핵을 제작해보기로 한다. 지난 포스팅에 이어서 같은 Health 주소 값에 브레이크를 걸고 이번에는 피가 빠진 상태에서 힐팩으로 피를 충전해보자. 형광펜 친 부분이 힐팩에 의해 올라간 체력 값을 Health 메모리에 넣는 과정이다. 철저히 확인하자면, eax+4 는 0x028CA278 으로 Health 메모리 주소가 맞다. 그러면 EAX 에 어떻게 저 주소가 들어가게 되었을까? 분명히 Player 에 대한 구조체 혹은 클래스가 존..

<보안 study>/리버싱 2021.12.19

Didier Stevens Workshop : 악성문서파일 분석 도구 콜렉션

다운로드 링크 최근에 해당 워크샵의 oledump 를 이용하여 vba 를 분석해보았는데 굉장히 성능이 좋다. 추가적인 참고자료도 첨부한다. Quick Extract VBA Code From document Analysis Encrypted document

<악성코드 분석공부>/<여분지> 2021.12.15

[TamilCTF2021] Fool Me

foolme #z3 #reversing 원본WriteUp - https://github.com/goseungduk/CTF_WriteUp/tree/master/Tamil_2021/rev/foolme 우선 main 함수가 디컴파일 된 모습은 이러한데... sub_5611AE2071A5 함수가 exit(0) 로 통하는 함수이다 보니 분명 다른 로직이 있다고 판단하였고... 어셈블리로 보면, 해당 함수 호출 이후에 추가 로직이 존재했다. 이 부분은 풀면서 적당히 우회 했다. 그리고 이후 로직은 s 변수에 문자열 입력하고, 해당 문자열에 대해서 first, second, final 함수를 통과해야된다. 1. first 함수 first 함수는 처음에 s 값을 받아서 26바이트 문자열을 갖고있는지 확인한다. 그리고 ..

<보안 study>/CTFs 2021.10.07

[Dreamhack.io] palm

보호되어 있는 글입니다.

<Wargame & CTF>/DreamHack.io 2021.09.03

[Dreamhack.io] Snowing!

보호되어 있는 글입니다.

<Wargame & CTF>/DreamHack.io 2021.08.29

[Dreamhack.io] Inject ME!!!

보호되어 있는 글입니다.

<Wargame & CTF>/DreamHack.io 2021.08.29