대학생들을 위한 IT

URL을 통해 다운로드 된 [고클린]을 자동실행되는 [나쁜행동] 끝판왕까지 달려가보자!! 먼저 실행하는 함수가 어디서 작동하는지 알아보러 가보자!C:\\goclean.exe 실행 코드 과거에도 포스팅했던 간단한 프로그램 실행시키는 소스이다.여기서 Sleep()함수를 추가한 이유는 프로그램이 다운로드 되자마자 바로 실행되면 친구가 컴퓨터하는 도중에 알아채버리기 때문에텀을 두고, 실행되게끔 설계한 것이다. Sleep(1000) = 1초 필자는 5초로 설정했으나 더 시간을 길게 설정하고 실행되고 되고, 레즈스트리에 등록시켜 정말정말 [나쁜행동]도 할 수 있다. 그리고 Sleep() 함수와 WinExec() 함수가 실행되는 주소를 찾아가서 마저 쉘코드를 작성해보자 Sleep() 시작될 주소 WinExec() 시..

지난 포스팅에서는 쉘코드에 들어가기 앞서 [지뢰찾기로]로 간단한 연습 포스팅을 올렸었다. 어제가 연습용인 이유를 다시 간단히 적어보자면 메인함수로 리턴을 해야 하는 값을 강제로 WinExec가 있는 [7C8623AD] 주소로 바꾸어서 한번만 실행 가능하도록 했기 때문. 오늘은 지난 시간에 이어 제대로 된 쉘코드(이번엔 [계산기])를 작성해보겠다. 쉘코드 작성하기 위한 스택 도식화필자가 만들고자 하는 쉘코드가 실행하기 위해 건들어야 할 스택부분을 도식화하였다. 이 그림을 참고하여 글을 읽어 내려가 보자. 계산기 실행 코드 Immunity Debugger 실행 메인함수 Immunity Debugger 의 Disassembly 화면이 보인다. 차례대로 "메모리 address, 기계어, 어셈블리, content..