대학생들을 위한 IT

URL을 통해 다운로드 된 [고클린]을 자동실행되는 [나쁜행동] 끝판왕까지 달려가보자!! 먼저 실행하는 함수가 어디서 작동하는지 알아보러 가보자!C:\\goclean.exe 실행 코드 과거에도 포스팅했던 간단한 프로그램 실행시키는 소스이다.여기서 Sleep()함수를 추가한 이유는 프로그램이 다운로드 되자마자 바로 실행되면 친구가 컴퓨터하는 도중에 알아채버리기 때문에텀을 두고, 실행되게끔 설계한 것이다. Sleep(1000) = 1초 필자는 5초로 설정했으나 더 시간을 길게 설정하고 실행되고 되고, 레즈스트리에 등록시켜 정말정말 [나쁜행동]도 할 수 있다. 그리고 Sleep() 함수와 WinExec() 함수가 실행되는 주소를 찾아가서 마저 쉘코드를 작성해보자 Sleep() 시작될 주소 WinExec() 시..

지난 포스팅에서는 랜덤으로 바뀌는 복귀 주소 값때문에 원하는 주소로 보내지 못하는 상황에 놓여버렸다.이번 시간에는 '그 상황'을 벗어나보려 한다. 자 가보자! 먼저 저번 시간에 했던 상황을 다시 생각보자스택 그림스택 그림에서의 목표는 [0012FF80] 주소에 저장된 [0012FF84] 주소 값을 읽어 와서 [0012FF84] 주소를 찾아 그곳에 저장된 쉘코드를 실행하게 만드는 작업이다.하지만 항상 같은 스택 공간에 데이터가 쌓이는 것이 아니기 때문에 고정적인 주소를 가지는 무언가를 찾아야 했다.필자는 JMP, CALL, RETN 등 여러가지가 있겠지만서도 JMP를 선별하고, 이를 ESP 기준으로 삼았다. JMP ESP 메모리 주소 찾기찾음마우스 우측 클릭 후 [Search for] 탭에서 --> [Al..

이번 시간에는 취약점이 있는 프로그램을 실행시켰을 때, [계산기]가 실행되게끔 만드는 쉘코드를 만들어 볼 것이다.이번 취약점이 있는 프로그램에는 [All to Mp3 Converter]가 되시겠다.All to Mp3 Converter다른 확장자들을 .mp3 확장자로 바꾸어 주는 프로그램이다. 즉, 필자가 하려는 작업은 [Add] 버튼을 눌러 mp3 확장자로 바꾸려는 파일을 열었을 때, '계산기'가 실행되게 끔 만드는 작업이다. 안티디버깅[All to Mp3 Converter] 프로그램을 리버싱해서 취약점을 알아보려는 도중 안티디버깅 기술이 걸려있는 걸 확인했다... 이러면 어떻게 Immunity Debugger를 실행시킬 수 있을까 생각해보자!! 이럴 때 사용하는 방법이 [Attach]이다. 디버깅 화면..

지난 포스팅에서는 쉘코드에 들어가기 앞서 [지뢰찾기로]로 간단한 연습 포스팅을 올렸었다. 어제가 연습용인 이유를 다시 간단히 적어보자면 메인함수로 리턴을 해야 하는 값을 강제로 WinExec가 있는 [7C8623AD] 주소로 바꾸어서 한번만 실행 가능하도록 했기 때문. 오늘은 지난 시간에 이어 제대로 된 쉘코드(이번엔 [계산기])를 작성해보겠다. 쉘코드 작성하기 위한 스택 도식화필자가 만들고자 하는 쉘코드가 실행하기 위해 건들어야 할 스택부분을 도식화하였다. 이 그림을 참고하여 글을 읽어 내려가 보자. 계산기 실행 코드 Immunity Debugger 실행 메인함수 Immunity Debugger 의 Disassembly 화면이 보인다. 차례대로 "메모리 address, 기계어, 어셈블리, content..

쉘코드컴퓨터 보안에서 쉘코드(Shellcode)란 작은 크기의 코드로 소프트웨어 취약점 이용을 위한 내용부에 사용된다. 쉘코드로 불리는 까닭은 일반적으로 명령 쉘을 시작시켜 그곳으로부터 공격자가 영향 받은 컴퓨터를 제어하기 때문이다. 쉘코드는 일반적으로 어셈블리어로 작성되고 기계어로 변경된다. 비슷한 작업을 하는 어떤 코드 조각이라도 쉘코드라고 불릴 수 있다. -위키백과-이번 포스팅에서는 완벽한 쉘코드가 아닌 쉘코드인 척 하는 그런 작업을 할 예정이다. 이걸 발전시키면 그게 쉘코드지 모~후에 포스팅 할 쉘코드를 위한 연습용이라고 알려둔다!더욱더 중요한 점은 필자가 다루어 볼 BOF - STACK 의 보호 기법 중 하나인 GS(STACK GUARD)를 피하기 위해 전제 조건으로 버퍼 보안 검사 수준을 [아..