Microsoft Word - Dropper.Agent D.doc

Size: px
Start display at page:

Download "Microsoft Word - Dropper.Agent D.doc"

Transcription

1 Dropper/Agent D Analysis 1. 개요잊을만하면한번씩사회공학기법 (Social Engineering) 을이용한악성코드가출현했다. 이번에는첨부파일인 Police.exe 를확인하고경찰서로출두하라는내용과함께불특정다수에게유포되었는데아마메일을받고도둑이제발저린다고순간뜨끔했던사용자들도있었을것이다. 이문서에서 Dropper/Agent D( 이하 Agent D) 에대해서최대한 <?> 상세하게분석해보자. 2. VirusTotal Scan Result AhnLab-V Dropper/Agent D AntiVir TR/Agent Authentium W32/SYStroj.N.gen!Eldorado Avast Win32:Trojan-gen {Other} AVG Worm/Agent.N BitDefender Trojan.Generic CAT-QuickHeal Rootkit.Agent.btu ClamAV Trojan.Agent DrWeb Trojan.DownLoad.1178 esafe Rootkit.Win32.Agent. etrust-vet Ewido Rootkit.Agent.btu F-Prot W32/Backdoor2.CGEO F-Secure Rootkit.Win32.Agent.btu Fortinet W32/Agent.BTU!tr.rkit GData Trojan.Generic Ikarus T Rootkit.Win32.Agent.btu K7AntiVirus Rootkit.Win32.Agent.btu Kaspersky Rootkit.Win32.Agent.btu McAfee Generic BackDoor.t Microsoft NOD32v probably a variant of Win32/Genetik Norman W32/Rootkit.OVH Panda Suspicious file PCTools Prevx1 V Rising Backdoor.Win32.Undef.bio Sophos Sus/Behav-1009 Sunbelt Rootkit.Win32.Agent.btu Symantec TheHacker TrendMicro BKDR_PCLIENT.AR VBA Backdoor.Win32.Agent.oog ViRobot Trojan.Win32.RT-Agent VirusBuster Webwasher-Gateway Trojan.Agent

2 :02(GMT +09:00) 에 police.exe 를 VirusTotal 에돌려보면위의진단결과처럼대다수의백신이진단하고있음을알수가있었다. 3. BinText String & Hash Analysis (3-1) BinText String Analysis [String Information] - Dropper Function: Agent D 내부에포함된또다른 MZ-PE 구조를가진파일을생성할때 (String:Dropper) 00001F (String:Dropper) 00002AFD FD (API:FileDrop==) E E8 (API:FileDrop==) A A (API:FileDrop==) (API:FileDrop==) E E6 (API:FileDrop==) C C (API:FileDrop==) 0000EF (API:FileDrop==) 0000EF !This program cannot be run in DOS mode. 0!This program cannot be run in DOS mode. 0 SizeofResource 0 LoadResource 0 FindResourceA 0 FreeResource 0 CreateFileA 0 CopyFileA 0 WriteFile - Web Connection: Web 에접속하여추가로어떤행위를하려고할때 (String:GetURL=) 0000F9C FC6 0 Referer: (String:GetURL=) 0000FAB B0 0 (String:NoIfDir) 0000F F52 0 User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate (API:ConnectURL) 0000F B80 0 InternetOpenUrlA (API:ConnectURL) 0000F B94 0 InternetOpenA (API:ConnectURL) 0000F B58 0 InternetReadFile (API:ConnectURL) 0000F56C 00410B6C 0 InternetCloseHandle - Stealth Function: 자신을은폐시킬때 (API:Stealth===) C C (API:Stealth===) A AA8 (API:Stealth===) (API:Stealth===) (API:Stealth===) (API:Stealth===) CA CA 0 KeServiceDescriptorTable 0 Can't find KeServiceDescriptorTable 0 IofCompleteRequest 0 IoDeleteDevice 0 IoDeleteSymbolicLink 0 ntoskrnl.exe - File Control: 특정프로세스를종료또는삭제그리고레지스트리설정할때 (API:FileRun===) 0000F ShellExecuteA (API:FileDel===) 00001A1C C 0 DeleteFileA (API:ProcKill==) 0000EE7A A 0 TerminateProcess (API:Registry==) 00001B0A A 0 RegSetValueExA (API:Registry==) 00001B1A A 0 RegCloseKey (API:Registry==) 00001AFA FA 0 RegOpenKeyExA (API:FileHandle) 0000EF2A A 0 GetFileSize (API:FileHandle) 0000F25E E 0 SHGetFileInfoA (API:FileHandle) 0000ED FindNextFileA (API:FileHandle) 0000EDD D6 0 FindFirstFileA (API:FileHandle) 0000ED FindClose - Service Control: 특정서비스를제어할때 (API:Service===) 00001B6E E 0 CloseServiceHandle - 2 -

3 (API:Service===) 00001AEC EC (API:Service===) 00001B (API:Service===) 00001B5E E (API:Service===) 00001B (API:Service===) 00001B (API:Service===) 00001B (API:Service===) 00001B [/String Information] 0 OpenServiceA 0 OpenSCManagerA 0 StartServiceA 0 QueryServiceStatus 0 ControlService 0 QueryServiceStatus 0 ChangeServiceConfigA 지금까지분석한악성코드가사용하는문자열이나 API 를 DB 화한후매칭시키는방법으로얼마나일치하는지비교해본결과 String 은좀부족하지만위에나열된 API 들을통해서 Agent D 가대략적으로어떤행위를한다는것을유추할수있었다. (3-2) Hash Analysis File: C:\TempDir\Police.exe Size: bytes MD5: CE2F09ED6BB0EF6EBE7808A817BD7F79 SHA1: D2A5338AEEA7A B862A4AAF1DC2D8A60 CRC32: 858B8CF8 4. Technical Analysis (4-1) %SYSTEM%\Drivers\beep.sys 대체하기 Beep.sys 는원래윈도우 OS 에존재하는정상파일이다. 그러나요즘악성코드들이정상 beep.sys 를삭제하고자신의존재를은폐시키기위한루트킷드라이버로서 beep.sys 파일을생성하고있다. 일단아래루틴을통해서정상 beep.sys 의존재여부를검사한다. //--- %SYSTEM%\drivers\beep.sys 찾기 ---// 00401C5A push 100 ; /BufSize = 100 (256.) 00401C5F. 50 push eax ; Buffer 00401C60. FF15 A call dword ptr [<&KERNEL32.GetSystemD>; \GetSystemDirectoryA 00401C66. BF AC3B4000 mov edi, 00403BAC ; ASCII "\drivers\beep.sys" 00401C70. 8D lea edx, dword ptr [esp+10] Stack address=0012fe24, (ASCII "C:\WINDOWS\system32") edx=7ffb C74. F2:AE repne scas byte ptr es:[edi] ;[edi]="c:\windows\system32\drivers\beep.sys" 00401C94. E8 37FFFFFF call 00401BD0 정상 beep.sys 를삭제하기위해서는 sfc_os.dll 에서제공하는 Export 함수를우회한다. 좀더쉽게말하면윈도우에서는시스템파일이삭제되면시스템변경및복구관련메시지를출력하지만악성코드에서관련 Export 함수를우회하므로메시지가출력되지않는다. //--- 파일보호우회하기 ---// 00401C05. 83C4 08 add esp, C B4000 push 00403B68 ; /FileName = "sfc_os.dll" 00401C0D. FF call dword ptr [<&KERNEL32.LoadLibrar>; \LoadLibraryA Executable modules, item 7 Base=76C10000 Size= ( ) - 3 -

4 Entry=76C1F03A sfc_os.<moduleentrypoint> Name=sfc_os (system) File version= (xpsp Path=C:\WINDOWS\system32\sfc_os.dll 00401C13. 8BF0 mov esi, eax ; eax=76c10000 (sfc_os.76c10000), esi=00403bbe (Police.00403BBE) 00401C19. 6A 05 push 5 ; /ProcNameOrOrdinal = # C1B. 56 push esi ; hmodule, esi=76c10000 (sfc_os.76c10000) 00401C1C. FF15 BC call dword ptr [<&KERNEL32.GetProcAdd>; \GetProcAddress 00401C22. 8D lea edx, dword ptr [esp+8] 00401C26. 6A FF push C push edx 00401C29. 6A 00 push C2B. FFD0 call eax ; eax=76c19436 (sfc_os.#5) 상기루틴을통해서 sfc_os.dll 를우회하는데성공하였다면아래루틴을통해서정상 beep.sys 를삭제한후동일한경로에동일한파일명을사용하여루트킷드라이버를생성한다. 참고로윈도우에서사용하는정상 beep.sys 는약 5kb 로 Agent D 가생성하는 beep.sys 는약 3kb 이다. 따라서 beep.sys 가존재한다고해서무조건악성은아니며또한 Agent D 에감염된것은아님을밝혀둔다. //--- beep.sys 삭제 ---// 00401CA3. 50 push eax ; /FileName = C:\WINDOWS\system32\drivers\beep.sys 00401CA4. FFD7 call edi ; \DeleteFileA //--- beep.sys 생성 ---// 00401CA6. 6A 00 push 0 ; /htemplatefile = NULL 00401CA8. 6A 02 push 2 ; Attributes = HIDDEN 00401CAA. 6A 02 push 2 ; Mode = CREATE_ALWAYS 00401CAC. 6A 00 push 0 ; psecurity = NULL 00401CAE. 6A 02 push 2 ; ShareMode = FILE_SHARE_WRITE 00401CB0. 8D4C24 24 lea ecx, dword ptr [esp+24] ; 00401CB push ; Access = GENERIC_WRITE 00401CB9. 51 push ecx ; FileName = C:\WINDOWS\system32\drivers\beep.sys 00401CBA. FF call dword ptr [<&KERNEL32.CreateFile>; \CreateFileA 00401CCA. 6A 00 push 0 ; /poverlapped = NULL 00401CCC. 52 push edx ; pbyteswritten 00401CCD. 68 C push 8C6 ; nbytestowrite = 8C6 (2246.), beep.sys 의크기 00401CD push ; Buffer = Police , beep.sys 의 MZ헤더위치 00401CD7. 56 push esi ; hfile 00401CD8. FF15 8C call dword ptr [<&KERNEL32.WriteFile>>; \WriteFile //---- Agent D 가생성한 Drivers/beep.sys 파일의일부 ----// D 5A FF FF MZ? B ?...@ C ? E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD ?.???L?Th F D E 6E 6F is program canno E E F t be run in DOS - 4 -

5 (4-2) %TEMP%\%d_res.tmp 파일생성하기 //--- %Temp% Path 얻기 ---// C0. 50 push eax ; /Buffer C push 104 ; BufSize = 104 (260.) C6. FF call dword ptr [<&KERNEL32.GetTempPathA>] ; \GetTempPathA D2. 8D8C lea ecx, dword ptr [esp+134] ; [esp+134] = 리턴된 %TEMP% 의경로 //--- %TEMP%\%d_res.tmp 파일생성 ---// D9. 50 push eax ; /<%d> eax = 0x h DA. 51 push ecx ; <%s> = C:\DOCUME~1\AHNMAR~1\LOCALS~1\Temp\ DB. 8D lea edx, dword ptr [esp+38] ; DF. 68 E push E0 ; Format = "%s\%d_res.tmp" E4. 52 push edx ; s E5. FF call dword ptr [<&USER32.wsprintfA>] ; \wsprintfa F2. 8B mov eax, dword ptr [esp+254] ; Police = File Type:DLL //--- 리소스찾기 ---// push eax ; /ResourceType = File Type(DLL) A. 51 push ecx ; ResourceName = B. 56 push esi ; hmodule C. FF call dword ptr [<&KERNEL32.FindResourceA>] ; \FindResourceA BD8 mov ebx, eax ; Police B C 01 00?...L.. 0x h: 0x000040B0h, %TEMP%\%d_res.tmp 파일의 MZ 헤더위치 0x h: 0x00014C00h, %TEMP%\%d_res.tmp 파일의크기 //--- 리소스로딩 ---// > \53 push ebx ; /hresource = push esi ; hmodule FF15 3C call dword ptr [<&KERNEL32.LoadResource>] ; \LoadResource //--- 파일생성 ---// A > \6A 00 push 0 ; /htemplatefile = NULL C push 80 ; Attributes = NORMAL A 02 push 2 ; Mode = CREATE_ALWAYS A 00 push 0 ; psecurity = NULL A 02 push 2 ; ShareMode = FILE_SHARE_WRITE D lea edx, dword ptr [esp+44] ; B push ; Access = GENERIC_WRITE push edx ; FileName = % 랜덤한문자 %_res.tmp edx=0012f9b8, (ASCII "C:\DOCUME~1\AHNMAR~1\LOCALS~1\Temp\\ _res.tmp") FF call dword ptr [<&KERNEL32.CreateFileA>] ; \CreateFileA //--- 랜덤한문자 %_res.tmp%_res.tmp 에코드쓰기 ---// D1. 6A 00 push 0 ; /poverlapped = NULL D3. 51 push ecx ; pbyteswritten D4. 53 push ebx ; /hresource =

6 004014D5. 6A 00 push 0 ; hmodule = NULL D7. FF15 5C call dword ptr [<&KERNEL32.SizeofResource>>; \SizeofResource DD. 50 push eax ; nbytestowrite = 14C00 (84992.) DE. 57 push edi ; Buffer DF. 56 push esi ; hfile E0. FF15 8C call dword ptr [<&KERNEL32.WriteFile>] ; \WriteFile //--- 파일이동 ---// FF. 56 push esi ; /NewName = C:\WINDOWS\system32\BITSEx.dll push edx ; ExistingName = C:\DOCUME~1\AHNMAR~1\LOCALS~1\Temp\\ _res.tmp FF call dword ptr [<&KERNEL32.MoveFileA>] ; \MoveFile A //--- 파일속성설정 ---// A 06 push 6 ; /FileAttributes = HIDDEN SYSTEM push esi ; FileName = ASCII "C:\WINDOWS\system32\BITSEx.dll A. FF15 A call dword ptr [<&KERNEL32.SetFileAttribut>; \SetFileAttributesA //--- 파일삭제 ---// D lea eax, dword ptr [esp+30] push eax ; /FileName = C:\DOCUME~1\AHNMAR~1\LOCALS~1\Temp\\ _res.tmp FF15 A call dword ptr [<&KERNEL32.DeleteFileA>] ; \DeleteFileA (4-3) %SYSTEM%\BITSEx.dll 파일이동 DLL 파일을생성하기에앞서 SYSTEM32 경로를얻어오기위해서 GetSystemDirectoryA 함수를사용한다. //--- %SYSTEM% Path 얻기 ---// DC push 104 ; /BufSize = 104 (260.) E1. 50 push eax ; Buffer E2. 897D EC mov dword ptr [ebp-14], edi ; E5. 897D E4 mov dword ptr [ebp-1c], edi ; E8. FF15 A call dword ptr [<&KERNEL32.GetSystemD>; \GetSystemDirectoryA 상기루틴을통해서 system32 경로를얻어왔으면 DLL 파일명을명명하기위해서윈도우의정상서비스명인 BITS 를가져와서 조합한다. //--- DLL File Naming ---// EE. 8B75 08 mov esi, dword ptr [ebp+8] F1. 8B1D mov ebx, dword ptr [<&USER32.wsprint>; USER32.wsprintfA F7. 8D8D C8FCFFFF lea ecx, dword ptr [ebp-338] FD. 56 push esi ; /<%s> = BITS( 윈도우정상서비스명을얻어옴 ) FE. 51 push ecx ; <%s> = %SYSTEMPATH% FF. 8D95 CCFDFFFF lea edx, dword ptr [ebp-234] ; D push D4 ; Format = "%s\%sex.dll" A. 52 push edx ; s B. FFD3 call ebx ; \wsprintfa 0012FBC4 0012FCE4 ASCII "C:\WINDOWS\system32\BITSEx.dll" %SYSTEM%\BITSExt.dll 란파일명으로생성을성공했다면아래루틴을통해서 BITS 서비스의 Parameter 로실행된다

7 //--- BITS Service Control ---// D95 D0FEFFFF lea edx, dword ptr [ebp-130] A. 51 push ecx ; /phandle B. 68 3F000F00 push 0F003F ; Access = KEY_ALL_ACCESS A 00 push 0 ; Reserved = push edx ; Subkey = SYSTEM\CurrentControlSet\Services\BITS push ; hkey = HKEY_LOCAL_MACHINE FF call dword ptr [<&ADVAPI32.RegOpenKeyExA>] ; \RegOpenKeyExA Parameter 로추가하기위해서일단해당서비스를비활성화시킨다. //--- BITS Service Status Changed ---// D. 6A 04 push 4 ; /BufSize = F. 51 push ecx ; Buffer A 04 push 4 ; ValueType = REG_DWORD A 00 push 0 ; Reserved = A push A4 ; ValueName = "Start" push edx ; hkey A. C mov dword ptr [ebp+8], 2 ; Service Status Flag FF call dword ptr [<&ADVAPI32.RegSetValueExA>>; \RegSetValueExA //--- BITS Service Parameter Control ---// D3. 52 push edx ; /phandle D F000F00 push 0F003F ; Access = KEY_ALL_ACCESS D9. 6A 00 push 0 ; Reserved = DB. 50 push eax ; Subkey = SYSTEM\CurrentControlSet\Services\BITS\Parameters DC push ; hkey = HKEY_LOCAL_MACHINE E1. FF call dword ptr [<&ADVAPI32.RegOpenKeyExA>] ; \RegOpenKeyExA //--- %SYSTEM%\BITSEx.dll" added as a parameter of BITS service ---// > \8DBD CCFDFFFF lea edi, dword ptr [ebp-234] ; [ebp-234] = C:\WINDOWS\system32\BITSEx.dll C9 FF or ecx, FFFFFFFF C0 xor eax, eax B. 8D95 CCFDFFFF lea edx, dword ptr [ebp-234] F2:AE repne scas byte ptr es:[edi] F7D1 not ecx push ecx ; /BufSize push edx ; Buffer = Stack Address for "C:\WINDOWS\system32\BITSEx.dll" A 02 push 2 ; ValueType = REG_EXPAND_SZ push eax ; Reserved => A. 8B45 EC mov eax, dword ptr [ebp-14] ; D push ; ValueName = "ServiceDll", push eax ; hkey FF call dword ptr [<&ADVAPI32.RegSetValueExA>>; \RegSetValueExA 최종적으로구성된 DLL파일의 Parameter 형태는아래와같다. * The final result : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters\ ServiceDll="C:\WINDOWS\system32\BITSEx.dll" - 7 -

8 BITS 서비스의 Imagepath 값을보면아래와같다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\ ImagePath=" %SystemRoot%\system32\svchost.exe -k netsvcs" 즉위와같이구성되면 BITSEx.dll 은 svchost.exe 에의해서로딩되며외부로접속하여추가악의적인행위를하는데쉽게말 하면정상 svchost.exe 가악의적인행위를하는것처럼보여진다. (5) %SYSTEM%\BITSEx.dll 분석하기 지금까지분석한내용을통해서 BTISEx.dll 이어떻게실행되는지알아봤다. 이제실행되는 BITSEx.dll 이어떤동작을하는지 알아보자. BITSEx.dll 은외부로접속하기위해서아래루틴을수행한다. //--- WinInet.dll 로딩및 Internet*****() 함수 EP얻기 ---// * wininet.dll 로딩하기 /$ 81EC F sub esp, 3F push esi F4E00010 push 1000E0F4 ; /FileName = "wininet.dll" C. FF15 ACA00010 call dword ptr [<&KERNEL32.LoadLibrar>; \LoadLibraryA --- 중간생략 F. 8B3D B0A00010 mov edi, dword ptr [<&KERNEL32.GetPr>; kernel32.getprocaddress * Internet******() 함수 EP얻기 E4E00010 push 1000E0E4 ; /ProcNameOrOrdinal = "InternetOpenA" A. 56 push esi ; hmodule B. FFD7 call edi ; \GetProcAddress D. 68 D0E00010 push 1000E0D0 ; /ProcNameOrOrdinal = "InternetOpenUrlA" push esi ; hmodule BD8 mov ebx, eax ; FFD7 call edi ; \GetProcAddress BCE00010 push 1000E0BC ; /ProcNameOrOrdinal = "InternetCloseHandle" C. 56 push esi ; hmodule D. 8BE8 mov ebp, eax ; F. FFD7 call edi ; \GetProcAddress A8E00010 push 1000E0A8 ; /ProcNameOrOrdinal = "InternetReadFile" push esi ; hmodule mov dword ptr [esp+18], eax ; B. FFD7 call edi ; \GetProcAddress //--- Internet***** 익스포트함수 Call ---// A0E00010 push 1000E0A0 ; ASCII "RiSing" A mov dword ptr [esp+28], eax E. FFD3 call ebx ; InternetOpenA() 의 EP BD8 mov ebx, eax DB test ebx, ebx je short CD B >mov eax, dword ptr [esp+408] ; BITSEx.1000E1B8 Stack ss:[0006f38c]=1000e1b8 (BITSEx.1000E1B8), ASCII " [0006F38C] 에는암호화되지않는 URL 주소가저장되어있지만 Internet***** 익스포트함수를 Call 하기전에상당히까다로 - 8 -

9 운방법을사용하여인코딩되어있었다. --- 중간생략 F push push eax push ebx A. FFD5 call ebp ; InternetOpenUrlA() 의 EP //--- 시스템정보얻기 ---// %SYSTEM%\BITSEx.dll 는감염된시스템의정보 ( 컴퓨터이름, 윈도우 OS 버전, 메모리양 ) 를얻어버퍼에저장한후위에서 알아낸 URL 에조합하여전송하는것으로보였다. ( 참고로 IDA Pro 를이용해서분석했다..text:10003EBA lea eax, [esp+0c0h+nsize].text:10003ebe mov [esp+0c0h+nsize], 40h.text:10003EC6 push eax ; nsize.text:10003ec7 push ebx ; lpbuffer.text:10003ec8 call ds:getcomputernamea.text:10003edb lea ecx, [esp+0c0h+versioninformation].text:10003edf mov [esp+0c0h+versioninformation.dwosversioninfosize], 94h.text:10003EE7 push ecx ; lpversioninformation.text:10003ee8 call ds:getversionexa ; Get extended information about the.text:10003ee8 ; version of the operating system.text:10003fad lea eax, [esp+0c8h+buffer].text:10003fb1 mov [esp+0c8h+buffer.dwlength], 20h.text:10003FB9 push eax ; lpbuffer.text:10003fba call ds:globalmemorystatus.text:10003fc0 mov ecx, [esp+0c8h+buffer.dwtotalphys].text:10003fc4 add ebx, 40h.text:10003FC7 shr ecx, 14h.text:10003FCA inc ecx.text:10003fcb push ecx.text:10003fcc push offset s_dmb ; "%dmb".text:10003fd1 push ebx ; LPSTR.text:10003FD2 call ds:wsprintfa 그외백도어로도활동하는것으로보이는데 %SYSTEM%\BITSEx.dll 에서파악된기능은마우스및키보드이벤트로깅, SeShutdownPrivilege 를통해서시스템의제어권 (logoff, Restart, Shut Down) 및화면캡쳐등을할수있는것으로보인다. 또한원격지의악의적인사용자가특정사이트로부터파일을다운로드및실행할수있는기능도존재하였다. 결론은 %SYSTEM%\BITSEx.dll 은백도어로서그리고함께생성된 %SYSTEM%\Drivers\beep.sys 에의해서은폐되어동작 하는것으로보인다

CKKeyPro 적용가이드

CKKeyPro 적용가이드 3.20 사이버테러악성코드분석보고서 라온시큐어보안기술연구팀 작성일 : 2013. 03 페이지 : 1/15 Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다.

More information

++11월 소비자리포트-수정

++11월 소비자리포트-수정 [ Internet Security Suite ] [ FireWall ] [ AntiVirus ] 00 www.sobijareport.org 7 Performance Ease of use Start duration Resource use Default settings Password protection Firewall functions Antivirus functions

More information

Deok9_Exploit Technique

Deok9_Exploit Technique Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security

More information

hlogin2

hlogin2 0x02. Stack Corruption off-limit Kernel Stack libc Heap BSS Data Code off-limit Kernel Kernel : OS Stack libc Heap BSS Data Code Stack : libc : Heap : BSS, Data : bss Code : off-limit Kernel Kernel : OS

More information

3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20

3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20 3.20 테러 악성코드바이너리분석 손충호 (StolenByte) stolenbyte@wowhacker.org WOWHACKER Group 2013-03-20 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20 전체적인공격프로세스 페이지 2 / 20 1. 바이너리가사용할 LoadLibrary 하여함수 Load

More information

ms dos virus analysyst

ms dos virus analysyst MS DOS VIRUS ANALYSYST ALERT VIRUS KIM DONG HYUN WHATTEAM & LET S CQ & KOREA IT TECHNICAL SCHOOL hackpupu@gmail.com 페이지 0 / 10 목차 ⅰ. Executive Summary 2 ⅱ. Identification 3 ⅲ. Behavioral and code analysis

More information

제 9 도는 6제어항목의 세팅목표의 보기가 표시된 레이더 챠트(radar chart). 제 10 도는 제 6 도의 함수블럭(1C)에서 사용되는 각종 개성화 함수의 보기를 표시하는 테이블. 제 11a 도 제 11c 도까지는 각종 조건에 따라 제공되는 개성화함수의 변화의

제 9 도는 6제어항목의 세팅목표의 보기가 표시된 레이더 챠트(radar chart). 제 10 도는 제 6 도의 함수블럭(1C)에서 사용되는 각종 개성화 함수의 보기를 표시하는 테이블. 제 11a 도 제 11c 도까지는 각종 조건에 따라 제공되는 개성화함수의 변화의 (19) 대한민국특허청(KR) (12) 특허공보(B1) (51) Int. Cl. 5 B66B 1/18 (45) 공고일자 1993년09월28일 (11) 공고번호 특1993-0009339 (21) 출원번호 특1989-0002580 (65) 공개번호 특1989-0014358 (22) 출원일자 1989년03월02일 (43) 공개일자 1989년10월23일 (30) 우선권주장

More information

No Slide Title

No Slide Title Copyright, 2017 Multimedia Lab., UOS 시스템프로그래밍 (Assembly Code and Calling Convention) Seong Jong Choi chois@uos.ac.kr Multimedia Lab. Dept. of Electrical and Computer Eng. University of Seoul Seoul, Korea

More information

10-2 삼각형의닮음조건 p270 AD BE C ABC DE ABC 중 2 비상 10, 11 단원도형의닮음 (& 활용 ) - 2 -

10-2 삼각형의닮음조건 p270 AD BE C ABC DE ABC 중 2 비상 10, 11 단원도형의닮음 (& 활용 ) - 2 - 10 단원 : 도형의닮음 10-1 닮음도형 p265 ABC DEF ABC DEF EF B ABCD EFGH ABCD EFGH EF A AB GH ADFC CF KL 중 2 비상 10, 11 단원도형의닮음 (& 활용 ) - 1 - 10-2 삼각형의닮음조건 p270 AD BE C ABC DE ABC 중 2 비상 10, 11 단원도형의닮음 (& 활용 ) - 2 -

More information

Microsoft PowerPoint - a10.ppt [호환 모드]

Microsoft PowerPoint - a10.ppt [호환 모드] Structure Chapter 10: Structures t and Macros Structure 관련된변수들의그룹으로이루어진자료구조 template, pattern field structure를구성하는변수 (cf) C언어의 struct 프로그램의 structure 접근 entire structure 또는 individual fields Structure는

More information

IDA 5.x Manual 07.02.hwp

IDA 5.x Manual 07.02.hwp IDA 5.x Manual - Manual 01 - 영리를 목적으로 한 곳에서 배포금지 Last Update 2007. 02 이강석 / certlab@gmail.com 어셈블리어 개발자 그룹 :: 어셈러브 http://www.asmlove.co.kr - 1 - IDA Pro 는 Disassembler 프로그램입니다. 기계어로 되어있는 실행파일을 어셈블리언어

More information

INTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co

INTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co Basic reverse engineering on x86 This is for those who want to learn about basic reverse engineering on x86 (Feel free to use this, email me if you need a keynote version.) v0.1 SeungJin Beist Lee beist@grayhash.com

More information

Win32.Backdoor.Worm.IRCBot hwp

Win32.Backdoor.Worm.IRCBot hwp Win32/Backdoor.Worm.IRCBot.23552 상세분석보고서 최초작성 : 2011년 05월 09일 1 차수정 : 2011년 05월 23일 작성자 : 김부성 홈페이지 : http://www.chosik.com 이메일 : kbs6880@gmail.com 기본정보 종류 Backdoor 위험도 높음 감염경로 이동식디스크, 보안취약점 증상 원격코드실행 플랫폼

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

Microsoft PowerPoint - a5a.ppt [호환 모드]

Microsoft PowerPoint - a5a.ppt [호환 모드] 5 장프로시저 (1) 책의라이브러리사용 5 장전반부 : 책의링크라이브러리 외부링크라이브러리개요 라이브러리프로시저호출 라이브러리링크 라이브러리프로시저 예제 연세대학교컴퓨터정보통신어셈블리언어 2 저자제공링크라이브러리 라이브러리파일 어셈블된프로시저를포함하고있는 OBJ 파일들을모아놓은파일 ( 확장자.LIB) 각 OBJ file 에는하나이상의 procedure 가들어있음

More information

GSC Incident Report-바이킹 바이러스 분석

GSC Incident Report-바이킹 바이러스 분석 GSC Incident Report- 바이킹바이러스분석 1. 작성일시 : 2006.10.26 20:17(GMT +09:00) 2. 작성자 : 안창용 / 바이러스분석팀 3. 바이킹바이러스에대해서바이킹바이러스는 2005 년 2 월경최초발견된후잠시주춤하다가 2005 년 5 월부터국내에서웹해킹을통한악성코드유포사례가이슈화되면서 Internet Explorer 의취약성을공격하는

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

<BCF6C1A4BBE7C7D72DB5F0C0DAC0CEBAD0B7F9C7A55FB0B3C1A4BEC828C3D6C1BE29345F313232342E687770>

<BCF6C1A4BBE7C7D72DB5F0C0DAC0CEBAD0B7F9C7A55FB0B3C1A4BEC828C3D6C1BE29345F313232342E687770> 2010. 1 2010. 1 일 러 두 기 디자인보호법시행규칙 제9조제1항에 전단에 따른 별표 4의 물품의 범위에서 물품의 용도와 기능 등을 고려하여 특허 청장이 고시한 물품의 명칭이다. 물품의 구분은 디자인등록출원서 작성의 일관성 유지와 통 일된 명칭을 사용하기 위한 것으로 디자인 물품 상호 간의 유사범위를 정하는 것은 아니다. 이 고시에 등록을 받으려는

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

<4D F736F F D20B9D9C0CCB7B5B9D9C0CCB7AFBDBA5FBCF6C1A42E646F63>

<4D F736F F D20B9D9C0CCB7B5B9D9C0CCB7AFBDBA5FBCF6C1A42E646F63> Virut 바이러스공격 ASEC 분석 1 팀고흥환선임연구원 해마다접수되는악성코드의통계를보면대부분이인터넷웜또는트로이목마가대부분을차지하며, 파일에기생하는바이러스는그수가적어지는것이추세이다. 그도그럴것이최근의악성코드특징은개인의능력과시가아닌돈과연관되는악성코드작성이대부분이기때문이다. 그렇다면 Virut 바이러스가인터넷웜과트로이목마를제치고국내뿐만아니라해외에서도큰피해를입히고있는이유가무엇인지,

More information

Microsoft PowerPoint - chap07.ppt

Microsoft PowerPoint - chap07.ppt 2010-1학기 현대암호학 제Ⅱ부인증 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 제7장일방향 해시 함수 목차 일방향 해시 함수 일방향 해시 함수의 응용 예 일방향 해시 함수의 예 일방향해시함수SHA-1 (512) 일방향 해시 함수로 해결할 수 없는 문제 7.0 주요 내용 범죄 수사에서는 지문을 이용하는 일이 있다. 특정인의

More information

(001~007)수능기적(적통)부속

(001~007)수능기적(적통)부속 0 6 06. C : k d=k+c k «+-, : «d= «± +C + =- : d=: ;[!; d=l +C : kf()d=k: f()d k : { f()+g()} d=: f()d+: g()d : { f()-g()} d=: f()d-: g()d : si d=-cos +C : cos d=si+c 008 : sec d=ta +C : cosec d=-cot +C

More information

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할 악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection

More information

/* */

/* */ /*---------------------------------------------------------------------------------*/ 번역 : innovation@wowhacker.org /*---------------------------------------------------------------------------------*/

More information

Microsoft Word - Static analysis of Shellcode.doc

Microsoft Word - Static analysis of Shellcode.doc Static analysis of Shellcode By By Maarten Van Horenbeeck 2008.09.03 2008.09.03 본문서에서는악성코드에서사용하는난독화되어있는쉘코드 를분석하는방법에대한 Maarten Van Horenbeeck 의글을번역 한것이다. Hacking Group OVERTIME OVERTIME force

More information

PRO1_09E [읽기 전용]

PRO1_09E [읽기 전용] Siemens AG 1999 All rights reserved File: PRO1_09E1 Information and - ( ) 2 3 4 5 Monitor/Modify Variables" 6 7 8 9 10 11 CPU 12 Stop 13 (Forcing) 14 (1) 15 (2) 16 : 17 : Stop 18 : 19 : (Forcing) 20 :

More information

슬라이드 1

슬라이드 1 파일 I/O 와디렉터리컨트롤 1 목차 기본적인파일처리 파일검색 파일열기 & 닫기 파일읽기 & 쓰기 삭제, 복사, 이동 (?) 파일의시간정보얻기 파일특성정보얻기 파일포인터 directory 생성 & 삭제 경로설정 경로얻기 2 파일생성 / 열기 HANDLE CreateFile ( LPCTSTR lpfilename, DWORD dwdesiredaccess, 파일이름

More information

02.Create a shellcode that executes "/bin/sh" Excuse the ads! We need some help to keep our site up. List Create a shellcode that executes "/bin/sh" C

02.Create a shellcode that executes /bin/sh Excuse the ads! We need some help to keep our site up. List Create a shellcode that executes /bin/sh C 02.Create a shellcode that executes "/bin/sh" Excuse the ads! We need some help to keep our site up. List Create a shellcode that executes "/bin/sh" C language Assembly code Change permissions(seteuid())

More information

Microsoft Word - Heap_Spray.doc

Microsoft Word - Heap_Spray.doc Heap Spray 본문서는 최근 웹 브라우저를 이용한 공격에 사용되는 Heap Spray 기법에 대한 내용을 수록하였다. 관련 내용에 대하여 많은 도움이 되기 바란다. 문서 내용은 초보자도 쉽게 이해할 수 있도록 관련 내용에 대한 설명을 포함하였다. Hacking Group OVERTIME force< forceteam01@gmail.com > 2007.05.13

More information

Microsoft PowerPoint - a8a.ppt [호환 모드]

Microsoft PowerPoint - a8a.ppt [호환 모드] 이장의내용 8 장고급프로시저 스택프레임 재귀 (Recursion) Invoke, Addr, Proc, Proto 디렉티브 다중모듈프로그램작성 2 8.2 스택프레임 Stack Frame ( 또는 activation record) procedure 의다음사항을저장한 영역 urn address passed parameter ( 스택매개변수 ) saved register

More information

2005년 6월 고1 전국연합학력평가

2005년 6월 고1 전국연합학력평가 제 1 교시 2015학년도 9월 모평 대비 EBS 리허설 2차 국어 영역(B형) 김철회의 1등급에 이르게 해 주는 [보기] 활용 문제 미니 모의고사(문학편) 1 유형편 [1]다음 글을 읽고 물음에 답하시오. 1. 를 참고하여 (가)를 이해할 때, 적절하지 않은 것은? (가) 머리는 이미 오래 전에 잘렸다 / 전깃줄에 닿지 않도록 올해는 팔다리까지 잘려

More information

hlogin7

hlogin7 0x07. Return Oriented Programming ROP? , (DEP, ASLR). ROP (Return Oriented Programming) (excutable memory) rop. plt, got got overwrite RTL RTL Chain DEP, ASLR gadget Basic knowledge plt, got call function

More information

Interstage5 SOAP서비스 설정 가이드

Interstage5 SOAP서비스 설정 가이드 Interstage 5 Application Server ( Solaris ) SOAP Service Internet Sample Test SOAP Server Application SOAP Client Application CORBA/SOAP Server Gateway CORBA/SOAP Gateway Client INTERSTAGE SOAP Service

More information

Slide 1

Slide 1 고가의 APT 장비와비교하세요! 백신, 그이상의가치를제공합니다. avast! Introduction 어베스트코리아 ( 주 ) 소프트메일 Tel : 1661-9331 E-mail : sales@avastkorea.com Homepage : http:// 고가의 APT 장비와비교하세요. 백신, 그이상의가치를제공합니다. avast! Introduction avast!

More information

Microsoft PowerPoint - a6.ppt [호환 모드]

Microsoft PowerPoint - a6.ppt [호환 모드] 이장의내용 6 장조건부처리 부울과비교명령어 조건부점프 조건부루프명령어 조건부구조 컴퓨터정보통신 어셈블리언어 2 6.2 부울과비교명령어 부울명령어 Instructions ti 동작 AND dst, src OR dst, src XOR dst, src NOT dst dst dst AND src dst dst OR src dst dst XOR src dst NOT

More information

(01-16)유형아작중1-2_스피드.ps

(01-16)유형아작중1-2_스피드.ps 01 p.10 0001 000 61 0003 4 8 3 4 5 7 4 3 3 3 6 8 9 5 1 1 3 7 9 6 0 1 0004 4 0005 0006 3 0007 6 0008 30 0009 3 19 0010 10 ~14 14 ~18 9 18 ~1 11 1 ~16 4 16 ~0 4 30 0011 160 cm 170 cm 001 10 cm 5 0013 135

More information

PRO1_02E [읽기 전용]

PRO1_02E [읽기 전용] Siemens AG 1999 All rights reserved File: PRO1_02E1 Information and 2 STEP 7 3 4 5 6 STEP 7 7 / 8 9 10 S7 11 IS7 12 STEP 7 13 STEP 7 14 15 : 16 : S7 17 : S7 18 : CPU 19 1 OB1 FB21 I10 I11 Q40 Siemens AG

More information

MPLAB C18 C

MPLAB C18 C MPLAB C18 C MPLAB C18 MPLAB C18 C MPLAB C18 C #define START, c:\mcc18 errorlevel{0 1} char isascii(char ch); list[list_optioin,list_option] OK, Cancel , MPLAB IDE User s Guide MPLAB C18 C

More information

(01~80)_수완(지학1)_정답ok

(01~80)_수완(지학1)_정답ok www.ebsi.co.kr 01 THEME 005 ABC abcd C A b 20~30 km HR HR 10 6 10 5 10 4 10 3 10 2 (=1) 10 1 10 _1 10 _2 10 _3 10 _4 10 7 30000 10000 6000 3000 (K) 11111111 11111111 10 8 10M 6M 10 9 3M 10 10 1M 10 11

More information

歯Ky2002w.PDF

歯Ky2002w.PDF 1 geometry geometrein (geo :, metrein : )., (thles of miletus),.. < >,. 17 18. (nlytic geometry ),. 17. 18 2. 18 (differentil geometry ). 19 (priori) (non- eucliden geometry ),,,. 2 E 2 3 E 3. E 2 E 3

More information

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F > 10주차 문자 LCD 의인터페이스회로및구동함수 Next-Generation Networks Lab. 5. 16x2 CLCD 모듈 (HY-1602H-803) 그림 11-18 19 핀설명표 11-11 번호 분류 핀이름 레벨 (V) 기능 1 V SS or GND 0 GND 전원 2 V Power DD or V CC +5 CLCD 구동전원 3 V 0 - CLCD 명암조절

More information

목차 1. 소개... 3 가. BOF란?... 3 나. 윈도우 BOF 개발환경및사용툴 Shellcode 작성하기... 4 가. cmd 쉘 ) 소스코드작성 ) 디스어셈블리 ) 어셈블리코드편집 간단

목차 1. 소개... 3 가. BOF란?... 3 나. 윈도우 BOF 개발환경및사용툴 Shellcode 작성하기... 4 가. cmd 쉘 ) 소스코드작성 ) 디스어셈블리 ) 어셈블리코드편집 간단 기술문서 `09. 11. 02. 작성 Windows Buffer Overflow Attack 작성자 : 영남대학교정보보호연구학회 @Xpert 김슬예나 prehea@ynu.ac.kr 1 목차 1. 소개... 3 가. BOF란?... 3 나. 윈도우 BOF... 3 2. 개발환경및사용툴... 3 3. Shellcode 작성하기... 4 가. cmd 쉘... 4

More information

2004math2(c).PDF

2004math2(c).PDF 3 2004 1,,,, 2 1 1. LCD ( )? () ( ) 2. 100 () () 3. < > (1) (2) (3) ( ) < > < >(1)(3) < > (), (3)< >()? ()... () A. B. C. (3), A, B, A, B, C 4. (), () < >? < >? [2]..,.,,,,,...,,,,, 2 5. < > (1), (2) (3)

More information

2004math2(a).PDF

2004math2(a).PDF 3 2004 1..,,,..,. 2. 1.. 1.. LCD ( )? () ( ) 2. 100. () () 3... < > (1). (2). (3) ( ) < > < >(1)(3). < > (), (3)< >()? ()... () A.. B.. C.. (3), A, B, A, B, C 4. (), (). < >? < >? [2] ..,.,,,,,

More information

Scanned by CamScanner

Scanned by CamScanner Scanned by CamScanner Scanned by CamScanner ABCBDEFFEAFFE FBFAEAAF 1. A BCDE CE FC AECFCE C C F F DEEFDEEFCECDCFEFCFAEFCEECEBB FECECECAFDFCEFFE CCFFCFFFACCEFA EF 2. EEFCCFCEFFAFADCAAABCDECE FFA 3. CECFBEFCCECFFCEC

More information

API 매뉴얼

API 매뉴얼 PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

A C O N T E N T S A-132

A C O N T E N T S A-132 C O N T E N T S -2 SC2 Series -3 SC2 Series -4 SC2 Series SC2 B 40 B 100 S I SC2 B 40 B 100 RO R S I SC2-2 B 40 B 100 HOY R S I -5 SC2 R0 40 SW R0 SC2 R 40 SC2 Series SW RB SW R SC2-2 H0 40 SW H0 SC2-2

More information

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드 취약점분석보고서 [Aviosoft Digital TV Player Professional 1.x Stack Buffer Overflow] 2012-08-08 RedAlert Team 강동우 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 1.2. 취약점요약... 1 1.3. 취약점정보... 1 1.4. 취약점대상시스템목록... 1 2. 분석...

More information

Microsoft PowerPoint - hy2-12.pptx

Microsoft PowerPoint - hy2-12.pptx 2.4 명령어세트 (instruction set) 명령어세트 CPU 가지원하는기계어명령어들의집합 명령어연산의종류 데이터전송 : 레지스터 / 메모리간에데이터이동 산술연산 : 덧셈, 뺄셈, 곱셈및나눗셈 논리연산 : 비트들간의 AND, OR, NOT 및 XOR 연산 입출력 (I/O) : CPU( 레지스터 ) 와외부장치들간의데이터이동 프로그램제어 : 분기, 서브루틴호출

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2 FMX FMX 20062 () wwwexellencom sales@exellencom () 1 FMX 1 11 5M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2 FMX FMX D E (one

More information

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration

More information

미통기-3-06~07(052~071)

미통기-3-06~07(052~071) 06 F() f() F'()=f()F() f() : f()d f() f() f() f() F()f() F()+C : f()d=f()+c C F'()=f(): f()d=f()+c C d [: f()d]=f() d : k d=k+c k C : «d= + +C =0C + : k f()d=k: f()d k : { f() g()}d=: f()d : g()d =f()

More information

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습니다. 여러분모두 Windows 에서 hex editor(hex dump, hex viewer) 라는것을사용해보셨을겁니다. 바로바이너리파일을 16 진수

More information

G5 G25 H5 I5 J5 K5 AVERAGE B5 F5 AVERAGE G5 G24 MAX B5 F5 MIN B5 F5 $G$25 0.58 $H$25 $G$25 $G$25 0.58 $H$25 G24 H25 H24 I24 J24 K24 A5 A24 G5 G24, I5

G5 G25 H5 I5 J5 K5 AVERAGE B5 F5 AVERAGE G5 G24 MAX B5 F5 MIN B5 F5 $G$25 0.58 $H$25 $G$25 $G$25 0.58 $H$25 G24 H25 H24 I24 J24 K24 A5 A24 G5 G24, I5 C15 B6 B12 / B6 B7 C16 F6 F12 / F6 F7 G16 C16/C15 1 C18 B6 B12 / B6 B8 B9 C19 F6 F12 / F6 F8 F9 G19 C19/C18 1 1 G5 G25 H5 I5 J5 K5 AVERAGE B5 F5 AVERAGE G5 G24 MAX B5 F5 MIN B5 F5 $G$25 0.58 $H$25 $G$25

More information

Deok9_PE Structure

Deok9_PE Structure PE Structure CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 1. PE > 1) PE? 2) PE 3) PE Utility

More information

°ø±â¾Ð±â±â

°ø±â¾Ð±â±â 20, 30, 40 20, 30, 40 1 2 3 4 5 6 7 8 9 10 3.1 6.3 9.4 12.6 15.7 18.8 22.0 25.1 28.3 31.4 2.4 4.7 7.1 9.4 11.8 14.1 16.5 18.8 21.2 23.6 7.1 14.1 21.2 28.3 35.3 42.4 49.5 56.5 63.6 70.7 5.9 11.9 17.8 23.7

More information

hwp

hwp 최종연구보고서 - 1 - - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 - - 26 - - 27 - - 28 -

More information

Codegate Preliminary Match Repot

Codegate Preliminary Match Repot Codegate Preliminary Match Repot - 2008 Historymaker 소개글 Code gate - 2008 뭐알아서참고.. ㅡㅡ ;;; 목차 1 4 2012.06.15 20:19 ================================================================== / Codegate Preliminary

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 @ Lesson 2... ( ). ( ). @ vs. logic data method variable behavior attribute method field Flow (Type), ( ) member @ () : C program Method A ( ) Method B ( ) Method C () program : Java, C++, C# data @ Program

More information

IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해

IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해 IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해서 도의와 성실과 지식을 바탕으로 서로 우애하고 경애한다. 나는 _ 단체와 국가에 대해서 그

More information

Microsoft Word - building the win32 shellcode 01.doc

Microsoft Word - building the win32 shellcode 01.doc Win32 Attack 1. Local Shellcode 작성방법 By 달고나 (Dalgona@wowhacker.org) Email: zinwon@gmail.com Abstract 이글은 MS Windows 환경에서 shellcode 를작성하는방법에대해서설명하고있다. Win32 는 *nix 환경과는사뭇다른 API 호출방식을사용하기때문에조금복잡하게둘러서 shellcode

More information

CD-RW_Advanced.PDF

CD-RW_Advanced.PDF HP CD-Writer Program User Guide - - Ver. 2.0 HP CD-RW Adaptec Easy CD Creator Copier, Direct CD. HP CD-RW,. Easy CD Creator 3.5C, Direct CD 3.0., HP. HP CD-RW TEAM ( 02-3270-0803 ) < > 1. CD...3 CD...5

More information

Certlab_ -worm Analysis.hwp

Certlab_ -worm Analysis.hwp Email-Worm Analysis - - 2006. 12. 이강석 / certlab@gmail.com 어셈블리어개발자그룹 :: 어셈러브 http://www.asmlove.co.kr - 1 - E-mail worm 분석과정을담고있는문서이고, 분석에쓰인악성코드는당연히첨부하지않았습니다. 첨부할시악성코드유포를하게되는것이고, 만약첨부하였더라도잘못관리하는경우가대부분이어서대신분석에쓰였던악성코드의

More information

OPCTalk for Hitachi Ethernet 1 2. Path. DCOMwindow NT/2000 network server. Winsock update win95. . . 3 Excel CSV. Update Background Thread Client Command Queue Size Client Dynamic Scan Block Block

More information

Microsoft Word - FunctionCall

Microsoft Word - FunctionCall Function all Mechanism /* Simple Program */ #define get_int() IN KEYOARD #define put_int(val) LD A val \ OUT MONITOR int add_two(int a, int b) { int tmp; tmp = a+b; return tmp; } local auto variable stack

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

=

= written by vangelis(vangelis@wowhacker.org) 0 0000 8 1000 1 0001 9 1001 2 0010 10 1010 3 0011 11 1011 4 0100 12 1100 5 0101 13 1101 6 0110 14 1110 7 0111 15 1111 110112 + 100012 = 1011002 110 0000 0101

More information

Microsoft PowerPoint - a9.ppt [호환 모드]

Microsoft PowerPoint - a9.ppt [호환 모드] 9.1 이장의내용 9 장. 스트링과배열 스트링프리미티브명령어 2 차원배열 정수배열검색및정렬 컴퓨터정보통신 어셈블리언어 2 9.2 스트링프리미티브명령어 String Primitive Instructions 의동작 String Primitive Instructions Instructions 설명 동작 MOVS(B,W,D) Move string data M[EDI]

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 [ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 (Host) set up : Linux Backend RS-232, Ethernet, parallel(jtag) Host terminal Target terminal : monitor (Minicom) JTAG Cross compiler Boot loader Pentium Redhat 9.0 Serial port Serial cross cable Ethernet

More information

짚 2014 10 vol 02 2 vol.02 Store 36.5 3 4 vol.02 Store 36.5 5 Must Have Item For Special Travel 6 vol.02 Store 36.5 7 8 vol.02 Store 36.5 9 10 vol.02 Store 36.5 11 12 vol.02 Store 36.5 13 14 vol.02 Store

More information

The_IDA_Pro_Book

The_IDA_Pro_Book The IDA Pro Book Hacking Group OVERTIME force (forceteam01@gmail.com) GETTING STARTED WITH IDA IDA New : Go : IDA Previous : IDA File File -> Open Processor type : Loading Segment and Loading Offset x86

More information

SRC PLUS 제어기 MANUAL

SRC PLUS 제어기 MANUAL ,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO

More information

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070>

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070> #include "stdafx.h" #include "Huffman.h" 1 /* 비트의부분을뽑아내는함수 */ unsigned HF::bits(unsigned x, int k, int j) return (x >> k) & ~(~0

More information

chap06.hwp

chap06.hwp 제 6 장대칭암호알고리즘 : AES 6.1 AES 6.1.1 AES 개요 1977년도에미국표준으로제정된 DES는지금까지큰허점이발견되지않았지만키길이가 56비트밖에되지않아현재의컴퓨팅기술로는쉽게전사공격을하여암호해독을할수있다. 따라서 1997년에새표준에대한작업을시작하여 2000년 10월에 AES(Advanced Encryption Standard) 라는새표준을채택하였다.

More information

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß Copyright (c) 1999-2002 FINAL DATA INC. All right reserved Table of Contents 6 Enterprise for Windows 7 8 Enterprise for Windows 10 Enterprise for Windows 11 12 Enterprise for Windows 13 14 Enterprise

More information

Microsoft Word - FS_ZigBee_Manual_V1.3.docx

Microsoft Word - FS_ZigBee_Manual_V1.3.docx FirmSYS Zigbee etworks Kit User Manual FS-ZK500 Rev. 2008/05 Page 1 of 26 Version 1.3 목 차 1. 제품구성... 3 2. 개요... 4 3. 네트워크 설명... 5 4. 호스트/노드 설명... 6 네트워크 구성... 6 5. 모바일 태그 설명... 8 6. 프로토콜 설명... 9 프로토콜 목록...

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

10X56_NWG_KOR.indd

10X56_NWG_KOR.indd 디지털 프로젝터 X56 네트워크 가이드 이 제품을 구입해 주셔서 감사합니다. 본 설명서는 네트워크 기능 만을 설명하기 위한 것입니다. 본 제품을 올바르게 사 용하려면 이 취급절명저와 본 제품의 다른 취급절명저를 참조하시기 바랍니다. 중요한 주의사항 이 제품을 사용하기 전에 먼저 이 제품에 대한 모든 설명서를 잘 읽어 보십시오. 읽은 뒤에는 나중에 필요할 때

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

PowerPoint Presentation

PowerPoint Presentation FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA SQL Server Forensic AhnLab A-FIRST Rea10ne unused6@gmail.com Choi Jinwon Contents 1. SQL Server Forensic 2. SQL Server Artifacts 3. Database Files

More information

(SW3704) Gingerbread Source Build & Working Guide

(SW3704) Gingerbread Source Build & Working Guide (Mango-M32F4) Test Guide http://www.mangoboard.com/ http://cafe.naver.com/embeddedcrazyboys Crazy Embedded Laboratory www.mangoboard.com cafe.naver.com/embeddedcrazyboys CRZ Technology 1 Document History

More information

Microsoft Word - Reversing Engineering Code with IDA Pro-4-1.doc

Microsoft Word - Reversing Engineering Code with IDA Pro-4-1.doc Reverse Engineering Code with IDA Pro By Dan Kaminsky, Justin Ferguson, Jason Larsen, Luis Miras, Walter Pearce 정리 : vangelis(securityproof@gmail.com) 이글은 Reverse Engineering Code with IDA Pro(2008년출판

More information

. "" "",.... :...,,....,.. :..,,,..,,...,.... 2

.  ,.... :...,,....,.. :..,,,..,,...,.... 2 RD-5405 /.. . "" "",.... :...,,....,.. :..,,,..,,...,.... 2 ..,,..,.. (,,,, )......,...,., ( ),,,,.,. (, )..,...... BD/DVD CD TV, VCR,........ (+, -).,,..... 3 ... 2... 3....3... 5... 9... 10...11...11...

More information

1.기본현황 연 혁 m 본면은 신라시대 ~고려시대 상주목에 속한 장천부곡 지역 m 1895.5.26한말에 이르러 장천면(76개 리동),외동면(18개 리동)으로 관할 m 1914.3.1행정구역 개편으로 상주군 장천면과 외동면이 병합하여 상주군 낙동면 (17개 리,25개

1.기본현황 연 혁 m 본면은 신라시대 ~고려시대 상주목에 속한 장천부곡 지역 m 1895.5.26한말에 이르러 장천면(76개 리동),외동면(18개 리동)으로 관할 m 1914.3.1행정구역 개편으로 상주군 장천면과 외동면이 병합하여 상주군 낙동면 (17개 리,25개 목 차 1.읍면동 기본현황 2.지방세 징수현황 3.소규모 주민숙원사업비 집행현황 4.예산 집행현황 5.예산 미집행 현황 6.고액체납자 현황 및 징수(독려)현황 7.관외체납세 징수(독려)현황 8.특수시책 확인자 낙 동 면 장 김 진 숙 (인) 부 면 장 차 정 식 (인) 주 민 생 활 지 원 담 당 김 영 욱 (인) 민 원 담 당 전 용 희 (인) 산 업 담

More information

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우 취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] 2012-07-19 RedAlert Team_ 강동우 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 1.2. Power2Go name Stack Buffer Overflow 취약점요약... 1 2.

More information

K_R9000PRO_101.pdf

K_R9000PRO_101.pdf GV-R9000 PRO Radeon 9000 PRO Upgrade your Life REV 101 GV-R9000 PRO - 2-2002 11 1 12 ATi Radeon 9000 PRO GPU 64MB DDR SDRAM 275MHz DirectX 81 SMARTSHADER ATI SMOOTHVISION 3D HYDRAVISION ATI CATLYST DVI-I

More information

Eureka Mail Client_v2.2.q를이용하여오믈렛에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugg

Eureka Mail Client_v2.2.q를이용하여오믈렛에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugg 익스플로잇실습 / 튜토리얼 Eureka Mail Client 2.2q Omelet Egg Hunting By WraithOfGhost Eureka Mail Client_v2.2.q를이용하여오믈렛에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python 2.7.10 - Ollydbg

More information

DocsPin_Korean.pages

DocsPin_Korean.pages Unity Localize Script Service, Page 1 Unity Localize Script Service Introduction Application Game. Unity. Google Drive Unity.. Application Game. -? ( ) -? -?.. 준비사항 Google Drive. Google Drive.,.. - Google

More information

슬라이드 1

슬라이드 1 핚국산업기술대학교 제 14 강 GUI (III) 이대현교수 학습안내 학습목표 CEGUI 라이브러리를이용하여, 게임메뉴 UI 를구현해본다. 학습내용 CEGUI 레이아웃의로딩및렌더링. OIS 와 CEGUI 의연결. CEGUI 위젯과이벤트의연동. UI 구현 : 하드코딩방식 C++ 코드를이용하여, 코드내에서직접위젯들을생성및설정 CEGUI::PushButton* resumebutton

More information

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14 Win-Trojan/Scar.109568.U 악성코드분석보고서 Written by extr (white-hacker@nate.com, http://extr.kr) 2013. 02. 26 Win-Trojan/Scar.109568.U 악성코드분석보고서 Page 1 / 14 Table of Contents 1. 분석정보 i. 분석대상 ii. 분석환경 2. 동적분석

More information

01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - PO

01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - PO 01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - POP; POP; POP; RET PLT & GOT Debug Proof of concept Example

More information

NoSQL

NoSQL MongoDB Daum Communications NoSQL Using Java Java VM, GC Low Scalability Using C Write speed Auto Sharding High Scalability Using Erlang Read/Update MapReduce R/U MR Cassandra Good Very Good MongoDB Good

More information