목차 1. 트로이목마 (Trojan) 웜 (Worm) 루트킷 (RootKit) 실제악성코드샘플분석결과...38

Size: px
Start display at page:

Download "목차 1. 트로이목마 (Trojan) 웜 (Worm) 루트킷 (RootKit) 실제악성코드샘플분석결과...38"

Transcription

1 시중악성코드의유형과패턴분석및 리버싱툴을이용한샘플코드분석결과보고 작성자 : 배건규 (muckmock@nate.com) 최성훈 (kimjinyoo@hotmail.com) 윤정현 (aljad2000@gmail.com) 조성은 (jose84@nate.com) 최인희 (selene85@hanmail.net) 06 Nov. 2009

2 목차 1. 트로이목마 (Trojan) 웜 (Worm) 루트킷 (RootKit) 실제악성코드샘플분석결과...38

3 Chpter 1. 트로이목마 (trojan) 1. 트로이목마 (trojan) 란? 트로이목마는이름그대로그리스와트로이의전쟁에서유래했다. 그리스는난공불락의요새인트로이를점령하기위하여목마를만들어병사들을매복시켰다. 그후목마를남겨두고위장후퇴를하였고, 트로이는승리에도취되어전리품으로목마를성안으로가지고들어왔다. 밤이되었을때, 목마에숨어있던그리스병사들이나와트로이의성문을열었고트로이는그리스에함락당하고말았다. 트로이목마는실제로는악성프로그램이지만해롭지않은것처럼보이는위장파일이다. 트 로이목마는정상파일을가장하고있다가, 사용자가실행시컴퓨터를망가뜨리거나개인 정보를유출한다. 보통자기복제능력이없기때문에바이러스나웜과구분되어진다. 2. 침투경로 직접침투 이메일을이용한침투 플러그인을이용한침투 공유폴더를이용한침투 이동형저장장치를이용한침투 악성코드를통한침투 크래커가트로이목마프로그램을설치할컴퓨터에직접접근하여프로그램을설치하는방법 피해자에게주변인을가장하여메일을전송해실행파일을실행하도록만드는방법 ActiveX 같은플러그인을이용하여사용자가프로그램을자신도모르는사이에다운받도록유도하는방법 네트워크상의공유폴더에프로그램을업로드해피해자가다운로드받도록유도하는방법 이동형저장장치에실행파일을생성해저장장치를사용하는컴퓨터에설치 다른악성코드 ( 웜, 바이러스등 ) 등에서프로그램을설치

4 3. 동작방식에따른분류 드롭퍼 (Trojan-Dr opper) 다운로더 (Trojan- Downloader) 패스워드스틸러 (Trojan-P WS) 프록시 (Trojan-Pr oxy) 클리커 (Trojan-Cli cker) 스파이 (Trojan-Sp y) 익스플로잇 (Trojan -Exploit) 내부에포함되어있던추가적인악성코드를설치하는트로이목마지정된웹사이트에접속하여추가적으로악성코드를다운로드하는트로이목마사용자계정및비밀번호를외부로유출하는트로이목마프록시의설정을변경하거나프록시를사용하는트로이목마오류메시지나광고를통해사용자의사이트의접속을유도하는트로이목마각종시스템정보를외부로유출하기위해제작된트로이목마취약점을통해감염시키는것이주목적인트로이목마 출처 : ISARC(INCA Internet Security Analysis & Response Center) 4. 시중분석코드 Trojan.Win32.VB AV 1. 악성코드에감염되면다음과같은경로에파일을생성 ( 윈도우폴더 )\rundll32.exe ( 윈도우폴더 )\msagent\rundll32.exe c:\challenge.exe 2. 감염된시스템은다음과같이레지스트리를추가 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run rundll32 : ( 윈도우폴더 )\rundll32.exe 3. 다음과같은사이트에접속을시도 guestbookdexxx.xxx [ 표기법 ] -"( 윈도우폴더 )" 란시스템마다다를수있으며일반적으로 C:\Windows (Windows 95/98/ME/XP), C:\WinNT (Windows NT/2000) 이다. - 하우리 -

5 Trojan.Win32.Krap D 1. 해당악성코드는 DLL 파일로다른악성코드와유기적으로동작하며, 사용자계정을가 로채는목적으로제작되었다. 2. DLL 파일이정상적으로로드되면다음과같이레지스트리를수정 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - NoDriveTypeAutoRun : 91 HKLM\SOFTWARE\Micorosoft\Windows\CurrentVersion\Explorer\Advanced\Foler\Hid den\showall - CheckedValue : 0 HKU\(SID)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ - Hidden : 2 HKU\(SID)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ - ShowSuperHidden : 0 HKLM( 또는 HKCU)\Software\Microsoft\Windows\CurrentVersion\Run - kvasoft : 악성코드경로 3. 사용자계정을갈로채는프로세스는다음과같다. BlueSkyClient_R.exe : 창천온라인 champagneclinet.exe : 샴페인온라인 dnf.exe : 던전앤파이터 elementclinet.exe : 무림외전 engine.exe : SP1 L2.exe : 리니지2 lotroclient.exe : 반지의제왕 maplestory.exe : 메이플스토리 pleione.dll : 마비노기 pt2.exe : 프리스톤테일2 r2clent.exe : R2 TwelveSky2.exe : 십이지천2 wffm.exe : 풍림화산 winbaram.exe : 바람의나라 wow.exe : 월드오브워크래프트 4. 해킹당한것으로추정되는웹사이트 dx3xx.com (6x.1x9.3x.6x) 에접속하여 xxgx/lx1.xax 파일을다운로드시도한다.

6 1. 다음과같은증상을보인다. 감염시스팸메일을발송하고종료 Trojan.Win32.Delf 다음과같이스팸에일을발송 xxx.xxx 로스팸메일을발송 HELO HiAsm.MailAUTH LOGINY29kZS1yb2JvdA==OTAwNDI3MAIL From: RCPT To: From: To: Content-Type: text/plain; charset="windows-1251" - 하우리 - Trojan.Win32.PSWSmall 악성코드에감염되면다음과같은경로에파일을생성 ( 사용자폴더 )\Local Settings\Temp\ms75E91007.nls 2. 감염된시스템은다음과같이레지스트리를추가 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\DelTempFC65: "cmd.exe /c del "C:\DOCUME~1\who\LOCALS~1\Temp\ms75E91007.nls"" 3. 다음과같은사이트에접속을시도 please-clixx.xx [ 표기법 ] - "( 사용자폴더 )" 란시스템마다다를수있으며일반적으로 C:\Documents and Settings\ 계정명 \Local Settings

7 Trojan.Win32.PSWIGames 게임관련정보를수집하는것으로추정 ("dnf.exe") 2. 악성코드에감염되면다음과같은경로에파일을생성 C:\WINDOWS\system32\delnice.dll 3. 레지스트리에다음과같이등록 HKLM\SOFTWARE\Microsoft\Windows "delnice.dll" NT\CurrentVersion\Windows\AppInit_DLLs: - 하우리 - 5. 트로이목마툴 - 흔히알려진트로이목마툴에는 Y3k, Netbus, BackOrifice등이있다. 해당툴들은대부분서버와클라이언트툴로나누어지며, 서버에서클라이언트를컨트롤하고정보를유출할수있는다양한기능들을제공하고있다. 구성 Y3k - server.exe ( 서버툴 ) - y3krat.exe ( 클라이언트툴 ) - Editserver.exe ( 서버설정프로그램 ) - y3k.dll ( 실행을위한 dll파일 ) - about.txt ( 도움말 ) 기본포트 특징및기능 - 다양한서버옵션 - 간편한사용방법 - 침입컴퓨터를 ftp 서버화 - 침입컴퓨터를실시간캡쳐 - icq 제어 - scan 기능 - 침입컴퓨터에각종메시지전송

8 구성 BackOriffice Bo2k.exe ( 서버툴 ) - Bo2kgui.exe ( 클라이언트툴 ) - Bo2kcfg ( 서버툴설정프로그램 ) 기본포트 , 31337, 사용자설정 특징및기능 - 서버툴의사용자정의설정이다양 - 다양한클라이언트툴의활용 - 침투한컴퓨터의모든시스템및프로그램장악 - 키로그작성및유출 - 침투한컴퓨터를통해다른컴퓨터로침투가가능 구성 기본포트 특징및기능 Netbus - patch.exe ( 서버툴 ) - netbus.exe ( 클라이언트툴 ) - netbus.rtf ( 도움말 ) - netbus 1.70 : 12345, netbus 2.0 : 프로그램실행및종료 - 스크린캡쳐 - 시스템강제종료 - 사운드제어 - 경고창제어 - 마우스제어및실행 - 인터넷브라우저제어

9 Chapter 2. 웜 (Worm) 1. 컴퓨터웜 (Computer Worm) 이란? 컴퓨터웜 (Computer Worm) 은스스로를복제하는컴퓨터프로그램이다. 컴퓨터바이러스와비슷하다. 바이러스가다른실행프로그램에기생하여실행되는데반해웜은독자적으로실행되며다른실행프로그램이필요하지않다. 웜은종종컴퓨터의파일전송기능을착취하도록설계된다. 컴퓨터바이러스와웜의중요한차이점은바이러스는스스로전달할수없지만웜은가능하다는점이다. 웜은네트워크를사용하여자신의복사본을전송할수있으며, 어떠한중재작업없이그렇게할수있다. 일반적으로웜은네트워크를손상시키고대역폭을잠식하지만, 바이러스는컴퓨터의파일을감염시키거나손상시킨다. 바이러스는보통네트워크에영향을주지않으며대상컴퓨터에대해서만활동한다. 2. 침투경로 이메일을이용한침투 메신저, P2P 이용 - 대량의메일을보내는방법으로웜확산 - 전파속도가매우빠름 - 가장많은비율을차지예 ) blaster, bagle, netsky, mydoom, sober 메신저, P2P용프로그램이웜의전파경로로이용 바이러스와결합웜과바이러스의결합 ( 빠른전파력 + 파괴력 ) - IRC프로그램을사용하여전파 - 주로 mirc와 script를이용 - 특정채널에접속해다수에게웜을보냄 IRC warm - 오퍼의명령을기다림 - 최근 IRC 자체엔진을가진웜출현예 ) Clicklt, IRCbot, sdbot 4. 시중분석코드 -Worm.BAT.Alcobul.a 이웜은감염메시지를첨부한채로인터넷을통해전파됩니다. BAT파일이며크기는 2,083바이트이다. - 설치실행되면윈도우디렉토리에 "UpgradeToWindowsXP.bat" 라는이름으로자신을복사 : C:\Windows\UpgradeToWindowsXP.bat 또한다음디렉토리를스스로복사 : C:\XP\

10 웜은시스템재시작시자동으로실행되게하기위해시스템레지스트리에자신의실행파일링크를추가 : [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "PX" = "C:\XP\xp.bat" 그러기위해다음파일을생성합니다 : C:\XPUpdate.reg - 전파 이웜은두가지방법으로전파된다. 1 IRC 채널을통한전파 : 피해 PC 에 "mirc" 라는프로그램이설치되어있으면, 웜은 "C:\mIRC\script.ini" 를바꿔 치기합니다. 이파일은 IRC 채널에서웜을사용자들에게보내는명령을포함하고있다. 2 감염메시지를첨부한채인터넷을통한전파 : 웜은다음파일을생성 : C:\X.vbs 이파일은아웃룩익스프레스주소록에있는모든주소로웜의복사본을전송한다. 감염메시지 : 메시지제목 : Upgrade to Windows XP 메시지본문 : Good news from Microsoft. Click the attachment for your FREE Windows XP. Upgrade to Windows XP now. 웜은다음첨부파일을전송 : C:\Windows\UpgradeToWindowsXP.bat 웜이실행되면인터넷익스플로를사용해서다음사이트를연다 : 웜은 Dos공격을수행하기위해다음명령을실행 : ping.exe -l t 또한다음디렉토리안에있는모든 "*.dat" 파일을스스로와바꾼다 : C:\progra~1\mcafee\mcafee~1\

11 -Worm.VBS.Small.n 이웜은인터넷을통해감염메시지를첨부한채로유포된다. 감염메시지는피해 PC에서수집된모든이메일주소로보내진다. 1,310바이트이며, 비주얼베이직스크립트로짜여져있다 (VBS). 웜이실행되면윈도우루트디렉토리의자신의복사본을생성 : %WinDir%\Troyan.vbs 윈도우가재시작될때마다자동으로실행되도록하기위해시스템레지스트리에웜의실행파일을등록한다. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] " " = "%WinDir%\Troyan.vbs" 웜은스스로를주소록의모든연락처로전송한다. 또한감염된 PC 의정보를원격지의악 성사용자에게보낸다. 수집된 pwl 파일은메시지에첨부되고, 이파일은사용자암호를담 고있다. 이메일을통한유포웜은 MS아웃룩주소록으로부터이메일주소를수집합니다. 그뒤수집된모든주소들에주기적으로스스로를전송합니다. 감염메시지 : 감염된메시지의예 : 제목 : Prinosim izveneniya 본문 : Prinosim izvineniya za lichnoyebespokoistvo. Prosim vas vyislat' Vash login i parol' (zhelatel'no bezlishnikh simvolov) na adres: support@inbox.ru dlya povtornoiidentifikatsii. Zaranee spasibo " 웜은메시지에스스로를파일첨부하여전송한다. 이메일의예는원격지의악성사용자에게전송되었습니다.(*****Snake@inbox.ru): 제목 : Lam grokhnut!!! 본문 : Vot fail s parolyami

12 IM-Worm.Win32.Bropia.ad 이웜은 Visual Basic으로작성되었고보통IM-Worm자체와 Backdoor.Win32.Rbot변종의두가지컴포넌트를가지고있는데이는파일내에포함되어있다. 백도어는대개 UPX와 Morphine으로압축되며, Backdoor.Win32.Rbot.gen으로탐지된다. 웜의크기는 188,416바이트이며웜파일내에포함되어있는압축백도어의크기는 86,528바이트이다. 압축을풀면대략 1.23MB정도된다. 웜은 P2P 다운로드나 MSN 메신저를통해링크의형태로도착할가능성이높다. 실행되면 웜은 msnadp32.exe 로서시스템디렉토리에자신을복사한다. 또한많은 P2P 어플리케이 션의공유디렉토리에자신을복사한다. 백도어는또한 ImSexy.exe 로서 C:\tmpdata 내에설치된다. 일단실행되고나면 %sysdir%\pwmgr.exe 에설치되며 ImSexy.exe 를삭제한다. 웜은레지스트리에키를추가하는데이는웜이 Windows 스타트업에서실행되도록하기위한것이다. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] MSN Administration For Windows="msnadp32.exe" 또한백도어는 Windows 스타트업에서실행되도록하기위해서레지스트리키를추가합니다. [HKEY_USERS\S \Software\Microsoft\ OLE] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S \Software\Microsoft\ Windows\CurrentVersion\Run] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S \Software\Microsoft\ Windows\CurrentVersion\RunServices] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S \SYSTEM\CurrentCon trolset\control\lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] WinPWD Manager="pwmgr.exe"

13 웜은 Rbot백도어를전파시키기위해서효과적으로사용된다. 이 Rbot변종은많은기능이있는데파일수신및실행, keylogging, FTP서버로서작동, 프록시서버로서작동, 포트검사, DDoS공격실행, 스크린과웹캠캡처, exploit과사전공격을이용하여네트워크에확산등이포함되어있다. 또한많은유명한 Pc게임의 cd키를훔치는기능도있다. %sysdir%\pwmgr.exe 에있는호스트파일이대체되는데, 이로써감염컴퓨터가다양한보안관련사이트에접속하지못하게한다. 웜은메시지를 MSN접속목록에있는모든주소에발송한다. 메시지는악성.php파일에연결되는링크를포함하고있으며이링크는는수신자의이메일주소가포함되어있다. 일단수신자가링크를클릭하게되면수신자의이메일주소가수집되고스팸업자들이이를사용할수있다. [nickname] says: lmao you dumbass! [nickname] says: address] Bropia는간격을두고두가지문장을발송하는데이는수신자가이링크를클릭할가능성을극대화하기위한것이다. 또한 P2P 네트워크를사용하여전파된다. 많은 P2P어플리케이션의공유디렉토리에자신을복사하는데다음의파일이름을사용한다. Adult ID Check.exe Aim Flooder.exe Aim Hacker.exe AIMHacks.exe Anarchist CookBook.exe AVPDVDRip.mpg.exe BF1942FULL.exe BFVietnam.exe BigBoobs.exe BigBoobsXXX.exe Britney XXX.exe broadband wizard.exe cable accelerator.exe cable uncapper.exe CallofDutyFULL.exe CoolGames.exe Cool_Games.exe CounterStrike.exe CounterStrikeSOURCE.exe

14 CounterStrikeSourceFULL.exe Cracker Game.exe Cracks Collections.Exe Credit Card.exe Delphi6 Keygen.exe DOOM3_FULL.exe DownLoad Accelerator Plus.exe Dreamcast BootDisc.exe Dropitlikeitzhot.exe DVDRipper.exe Easy CD Creator 5.exe hacker.exe exeeensaver.exe F-ProtAV-Full.exe FBISecretDocuments.exe FTP Commander.exe Ftp Cracker.exe Ftp Hacker.exe FuckedHARDXXX.exe Gladiator (Movie) - Full Downloader.exe GTAViceCity.exe Hacker Kit.exe Hacker.exe HackingWebpage.exe HackingWindowsXP.exe HackingXP.exe HalfLife2FULL+Crack.exe HalfLife2FULL.exe Halflife2KeyGen.exe HalfLife2_FULL.exe Hotmail Account Hacker.exe Hotmail Hack.exe Hotmail Hacker.exe Hotmail Password Cracker.exe HotmailHackerKit.exe How-to-Hack.exe HowtoHack.exe Icq Ad Remover.exe Icq Banner Remover.exe ICQ Hack.exe

15 icq hacker.exe icq ip patch.exe Ident Faker.exe Ident Spoofer.exe IE6 Final.exe InDaClub.exe irc flooder.exe IRobotDVDRip.mpg.exe Jasc Paint Shop Pro 7 (Full).exe JeniferLopezNUDE.exe Johnny English (Movie) - Full Downloader.exe Kazaa ad remover.exe LanGuard NetScan.exe Linux RootKit.exe Matrix Reloaded.exe McafeeAntiVirus.exe MedalofHonorPacificAssultFULL.exe Microsoft Office Full.exe MiddleSchoolPornXXX.exe Mirc6 Full.exe mirc6 keygen.exe Mp3 Maker Pro.exe mp3 to wav full.exe Msn Hacker.exe MSN Messenger Password Stealer.exe MS_Frontpage.exe NeroBurningRom 6.exe Norton AntiVirus Full.exe Norton Keygen-All Vers.exe NortonAntirVirus2005FULL.exe NortonAntiVirus2005FULL.exe NortonPersonalFirewallFULL.exe NudeCheerleaders.exe OfficeXP sp2 express.exe PasswordCrackers.exe PCChillen.exe pe packer.exe Peck.exe PhotoShopCS8.0_Crack.exe PipeBombTutorial.exe

16 PreTeenBlowJob.exe PreTeenSEX.exe PreTeenXXX.exe PS1 BootDisc.exe PS2 BootDisc.exe PSXCopy Full.exe Salford.exe Serials 2k.exe Serials Collections.exe SexyChickXXXHarcore.exe SexyTeen.exe Simpsons.exe SluttyCheerleaders.exe SohposAntiVirusFULL.exe Sopohs_Anti_Virus.exe SpywareKiller.exe SteelCap.exe StylesXP.exe Sub7 Master Password.exe Sub7 Remover.exe SwordFish (Movie) - Full Downloader.exe SxyTeenagePorn.exe SxyTeenageSEX.exe SxyTeenFuckedHARD.exe SxyTeenGetsItuptheASS.exe TeenSexHardcore.exe Trillian Patcher.exe Trillian Pro Full.exe Trojan Remover.exe uin2ip.exe VS.Net Patcher.exe Wadle.exe WallPapersXXX.exe webpage hacker.exe WebpageHackingTools.exe WebRootSpySweeper.exe Westdene.exe Win Proxy.exe Win Shares Cracker.exe Win-RAR-FULL+CRACK.exe

17 Win-RAR-FULL.exe Win98 Hacker.exe WinXP Keygen.exe WinXPHacking.exe www hacker kit.exe XPHackes.exe xxx exeeensaver.exe XXX Virtual Sex.exe XXXCollection.exe XXXHighSchoolSluts.exe XXXMagaPack.exe XXXTeenSexXXX.exe XXXWallpaperCollection.exe Yahoo Hacker.exe Zip_RAR_PWCracker.exe ZoneAlarm Pro Full.exe ZoneAlarm.exe Rbot는 Windows의수정되지않은취약점을이용함으로써네트워크에서확산된다. 또한표적으로삼은컴퓨터에침투하기위해서사전공격을감행함으로써확산된다. P2P-Worm.Win32.SdDrop.a 이웜은 KaZaA와 imesh 파일공유네트워크를통하여퍼진다. 이것은 Backdoor.Sdbot.gen을복사하여실행한다. 이웜은 ASPack를사용하여압축되었고크기는대략 25Kb이다. 실행에있어이웜은 %System%\Xms32.exe에복사한다. 이것은 Backdoor.Sdbot.gen을풀어내고 %System%\Xms32.tmp.exe 에복사한다. 그때웜은 %Windir%\sCache32 폴더에생성하고, 그폴더에아래와같은이름을가진파일을복사한다. 2 Find MP exe AC3-MP3 converter.exe ACDSee 5.5b.exe ACDSee Classic 2.79.exe Ad-aware 6.5 (new)download Accelerator Plus 6.3.exe Adobe Acrobat Reader 5.6.exe Adobe PhotoShop 7.1 crack.exe All Editor 3.0b.exe AOL Instant Messenger 6.1.exe

18 Auction Sentry (new).exe AudioLabel CD Labeler 3.0 (+crack).exe Battlefied1942 Pack4 (crack+bloodpatch).exe BearShare exe C&C Generals Pack2 (new patch).exe Complete UK Music Database 4.2.exe DirectDVD 4.9.exe DivX Bundle 6.2.exe DivX edit (new).exe DivX Video Bundle exe DvD Rip guide (+tools) st0rm.exe Dynamite Downloads.exe Easy CD Creator Software Update.exe FlashFXP (keygen).exe FreeRip 4.30.exe Genie Stream exe GetRight crack.exe Global DiVX Player exe Gothic 2 (m-patch).exe Grokster 2.0.exe Hacker Tutorial (by ph3akz).exe Half-Life keygen (+ogc hack).exe HL keys (working).exe I.G.I. 2 (new crack).exe ICQ Lite beta (b2253).exe ICQ Pro 2003a beta (b4600).exe imesh 4.1 beta.exe isnipeit 5.0c.exe James Bond 007 Nightfire crack.exe Kazaa Media Desktop 2.5.exe Kazaa Skins 1.8.exe KaZooM MP3 Kazaa Accelerator 2.5.exe Medal Of Honor (Allied Assault) crack.exe Microangelo 6.0b.exe mirc 6.x addon patch.exe mirc s3th war-script.exe Morpheus 2.6.exe MP3 cut pro 3.0.exe MSN Messenger exe Need for Speed 6 (new cars + crack).exe

19 NeoNapster 3.92.exe Nero Burning ROM exe Network Cable + ADSL Speed 2.0 (beta).exe New Nvidia (geforce) drivers (beta).exe Nimo Codec Pack 9.0 (stable).exe Nvidia Detonator XP Drivers (Windows XP/2000).exe Operation Flashpoint (bloopatch).exe Patch Creator 3.5a.exe PhotoShow 3.1.exe Pop-Up Stopper 4.0 (beta).exe Ps2 to Pc tutorial (+tool).exe QuickTime 7.2 (new).exe Raven Shield 5.32 crack.exe RealJukebox Basic 2.8.exe RealOne Free Player 2.8.exe RemoteSpy 1.5.exe Sim City 4 crack.exe Splinter Cell crack.exe TitJiggle (flash game).exe Trillian plugins.exe UniversalFlood (4.8b).exe Unreal2 (2.8) crack.exe UT2003 multi-crack (new).exe Warcraft3 battle.net(2.5) crack.exe Window Washer 4.8.exe WinMX exe WinRAR 3.8.exe WinZip 8.3b (crack).exe WinZip 9.0 SR-1.exe Wippit 2.1 (beta).exe WS_FTP LE 6.0.exe XViD bundle (codec+tutorial).exe 웜은시스템자동시작레지스트리에등록한다. HKCU\Software\Kazaa\LocalContent HKCU\Software\iMesh\Client\LocalContent "Dir? :"="%Windir%\sCache32" "DisableSharing"="0"

20 Chapter 3. 루트킷 (Rootkit) 1. 루트킷 (RootKit) 이란? 루트킷은커널모드와유저모드에서동작한다. 유저모드보다는커널모드에서의비중이더크며, 많은루트킷들이커널모드에서동작하도록만들어져있다. 유저모드보다는커널모드에서탐지가더어렵고커널모드는탐지가되더라도회피를하거나, 탐지프로그램을죽이는것이가능하다. 대부분의루트킷들은커널모드와유저모드에서동시에동작하도록되어있다. 루트킷의핵심키워드 꼭꼭숨어라 : 탐지되지않는대부분의기술과트릭은코드와데이터를시스템에서숨기기위해존재한다. 파일을만들거나어떤 API 코드를실행하거나, 그러한것은커널모드에서하기에는조금복잡하기도하고디버깅할때나예외가발생했을때수정하기도힘들다. 그래서루트킷은커널모드에서동작하도록만들어져있지만유저모드에서도동작하도록만들어져있다. 커널모드, 유저모드가서로상호작용을하면서탐지가쉽게되는유저모드를커널모드에서감춰주고커널모드에서사용하기어려운기능들은유저모드에서작성을함으로써코드가간결하며강력한루트킷을만들게되는것이다. 또한, 루트킷의핵심키워드는 탐지되지않는 이다. 루트킷의대부분의기술과트릭들은코드와데이터를시스템에서숨기기위해존재한다고해도틀린말이아니다. 물론해당컴퓨터를조종하기위한코드나어떤정보를얻기위해작성한코드도있겠지만가장중요한것은사용자나관리자에게루트킷이깔려있는지알수없게해야한다는것이다. 자신이설치가되고작동이되더라도시스템관리자가보기에는설치되기전과설치된후가변한것이없어야한다. 많은루트킷들이커널모드에서동작하도록만들어져있다. 라고했는데그아래에서는 대부분의루트킷들은커널모드와유저모드에서동시에동작하도록되어있다 이라고쓴 이유가무엇일까? 사실커널모드에서하기힘든일을유저모드에서는쉽게할수있다.

21 2. 사용용도 원격제어를통해파일을제어하거나, 시스템이 블루스크린 을발생시키게만들고재부팅되도록만들수있다. - 커맨드쉘 ( 즉, cmd, /bin/sh) 에접할수있다. - 소프트웨어감청을통해서네트워크패킷스니핑, 키입력가로채기, 그리고이메일내용훔쳐보기를통해사용자의비밀번호를알아낼수도있다. 3. 작동유형 (Windows Architecture) 윈도우는커널모드와유저모드를갖고있다. 유저모드는 Ring Level 3, 커널모드는 Ring Level 0 이며이는 CPU에서레벨에따라명령어를실행하게하거나못하게한다. 만약 Ring Level 3인유저모드에서 Ring Level 0의명령어를실행하려한다면 CPU에서예외를발생시킨다는것이다. 운영체제는유저모드를신뢰하지않는다. 항상감시의눈초리를보내다가수상한행동을할때해당프로세스를 Kill 한다. 소프트웨어코드와메모리각각에어떤링이할당되는지끊임없이관리하는것은 CPU가담당해야하는역할이다. Ring Level( 이하링 ) 간의접근제한을수행하는것또한 CPU의역할이다. 일반적으로모든소프트웨어프로그램은링번호를할당받으며자신이할당받은링번호보다낮은번호의링영역에는접근할수없다. 예를들면, 링3 프로그램은링0 프로그램에접근할수없는것이다. 만약그런일이발생한다면 CPU는즉시예외를발생시킨다. 대부분의경우에는운영체제에의해서접근이차단되며그런접근시도는프로그램이중지되는결과를낳게된다. < 그림 1> 은인텔 x86 프로세서의링구조를표현한것으로유저모드와커널모드프로그 램이링구조안의어디에서실행되는지를나타내고있다. 권한에따라메모리에접근할 수있는권한이구별되듯이실행되는명령또한구별될수있다. 즉명령중에는링 0 에

22 서만사용할수있는명령이있다. 그런명령들을이용하면 CPU 의동작을변경시키거나 하드웨어에직접적으로접근할수있다. 루트킷이링 0 에서동작하면얻게되는장점이많다. 하드웨어나다른소프트웨어가실행되 고있는환경을조작할수있기때문이다. 1유저모드 1) Registry를이용한 DLL 인젝션 HKEY_LOCAL_MACHINE \Software\Microsoft Windows NT \CurrentVersion\Windows \AppInit_DLLs 2) Thread 를이용한 DLL 인젝션 2-1) : 코드분석 -CreateRemoteThread() HANDLE CreateRemoteThread( HANDLE hprocess, -1 LPSECURITY_ATTRIBUTES IpThreadAttributes, DWORD dwstacksiwe, LPSECURITY_START_ROUTINE IpStartAddress,-2 LPVOID IpParameter, -3 DWORDdwCreationFlags, LPDWORD IpThreadOd );

23 1 hprocess : 스레드를생성할프로세서를가리킴OpenProcess()(PID값사용 ) * OpenProcess() 원형소스 HANDLE WINAPI OpenProcess( in DWORD dwdesiredaccess, in BOOL binherithandle, in DWORD dwprocessid ); 2 IpStartAddress : DLL 불러오기 (<- GetProcAddress <-LoadLibrary() ) * GetProcAddress() 원형소스 GetProcAddress() FARPROC WINAPI GetProcAddress( in HMODULE hmodule, in LPCSTR lpprocname ); -3 IpParameter : 프로세서안에스레드가위치할메모리영역을가르킴 < VitualAllockEX() : 메모리할당, WriteProcessMemory() : 메모리에쓰기 > * VitualAllockEX() 원형소스 LPVOID WINAPI VirtualAllocEx( in HANDLE hprocess, in_optlpvoid lpaddress, in SIZE_T dwsize, in DWORD flallocationtype, in DWORD flprotect ); ) * WriteProcessMemory() 원형소스 BOOL WINAPI WriteProcessMemory( in HANDLE hprocess, in LPVOID lpbaseaddress, in LPCVOID lpbuffer, in SIZE_T nsize, out SIZE_T *lpnumberofbyteswritten

24 2-2) : 동작원리 2 커널모드커널모드에서프로그래밍을하려면 DDK(Driver Development Kit) 가꼭필요하다. DDK는하드웨어개발자들이윈도우용드라이버를개발하는데필요한도구들을모은것이다. 유저모드에서는 Win32API로프로그래밍을하거나 MFC로프로그래밍을하게된다. 많은라이브러리들은대부분이유저모드프로그래밍을위해나왔다고해도과언이아니게아주많은유저모드라이브러리가있다. 하지만커널모드프로그래밍을해야하는 DDK는그종류가몇가지가되지않는다. 가장많이사용되는라이브러리로 WDM(Windows Driver Model) 이있지만어렵고복잡해서사용하기가힘들다. 최근에나온차세대통합드라이버모델 (WDF) 이나왔지만그난해함은여전하다. 커널모드에서프로그래밍을하게된다면자주보는그림이있다. 옆에있는 BlueScreen인데이는 Win98시절에많이볼수있었던화면일것이다. 이화면은커널모드에서동작하는애플리케이션에예외가발생했을때나온다. 이화면이나오면시스템이강제종료되기때문에어디서예외가발생했는지어떻게수정해야하는지찾기가힘들다. 이예외를처리하려면디버깅컴퓨터와디버거컴퓨터가필요하다.

25 디버깅컴퓨터와디버기컴퓨터를연결한후 WinDbg 를이용해디버깅컴퓨터에접속하 면커널모드애플리케이션에서발생하는메시지를읽을수있으며예외가발생한시점에서 디버깅컴퓨터를멈춘후디버깅을할수있다.

26 4. 루트킷제작에사용되는기술 A. HooKing 1 DLL Injection i. Windows Hooking Function 마이크로소프트는다른프로세스로전달되는윈도우메시지를후킹할수있는함수를정의해놓았다. 다른프로세스의주소공간영역안으로루트킷 DLL을로드시킬수있는방법을제공하고있는것이다. 애플리케이션은동작중에운영체제로부터다양한이벤트메시지를받는다. 애플리케이션의활성화된윈도우창에서사용자가키를입력했거나버튼이나마우스를클릭하면그이벤트에해당하는메시지가해당애플리케이션으로전송된다 위의 SetWindowsHookEx 함수가윈도우후킹함수이다. 첫번째인자는후킹을수행할메시지타입. 두번째인자는이벤트메시지가발생되었을때메시지를보낼후킹함수의주소. 세번째인자는후킹함수를포함하고있는 dll의가상메모리주소. 네번째인자는후킹을수행할스레드이며네번째인자가 0이면현재윈도우데스크탑의모든스레드에대해후킹이가능하다. 옆의 UnHookWindowsHookEx 는후킹을해제하는함수이다.

27 Windows에서 Hook 함수를사용하여 DLL을 Inject 하게되면, 내부적으로는 Hook Procedure 만이아니라, Hook Procedure 가들어있는 DLL코드전체가프로그램의코드영역에 Mapping 되기때문에, DLL 코드가실행되는영역이결국 DLL을호출한프로그램의내부영역이된다. 내부메시지를Hook 하거나, Window Procedure에 Hook을걸어필요한작업을진행하면될것이고 SetWindowHookEx를이용하여함수를실행하면된다. #pragma data_seg( ".Hearobdata" ) HINSTANCE hmodule = NULL; HHOOK hkeyhook = NULL; HWND g_hwnd = NULL; #pragma data_seg() 이그림은 Global 변수들을 Shared로지정하여 DLL을사용하는모든프로그램에대해 DLL 이로드되는시간동안 DLL간의공유가능한영역을지정한것이다. 위에보이는것처럼데이터 seg의이름을주고이안에변수들을지정했을때이 DLL을로드하는프로세스는이데이터 seg를공유하게된다. 데이터 seg 를공유시켜원하는프로세스에서정보를얻고원하는 app 에얻어온데이터를 뿌려주게된다. ii. VirtualAllocEx & CreateRemoteThread DLL을특정프로세스주소영역으로로드시킬수있는다른방법은해당프로세스의리모트스레드 (Remote Thread) 를만드는것이다. 이미존재하는프로세스상에서 Thread를외부에서생성하여, 이 Thread가 DLL 코드를실행하도록동작하는방법이다.

28 첫번째인자는스레드를삽입할프로세스의핸들을나타낸다. 프로세스의핸들을구하려면대상프로세스의 PID를이용하여 OpenProcess 함수를호출하면된다. OpenProcess 함수는프로그래머가원하는프로세스의핸들을리턴시켜준다. 두번째, 일곱번째인자는 NULL, 세번째여섯번째인자는 0으로설정한다. 네번째인자는인젝션대상프로세스주소공간내에서의 LoadLibrary 함수의주소설정. 다섯번째인자는 LoadLibrary에전달되는인자의메모리주소를설정하여야한다. 보통 Kernel32.dll 에서 LoadLibraryA 함수를얻어오고얻어온주소로 DLL 을로드시킨 다. LoadLibraryA 함수를이용해서원하는 DLL 을로드시키는것이다. 아래에있는코드는 DLL을 Injection 하기위한코드이다. remote thread 를생성하고 LoadLibrary 를호출한뒤, thread 에서 DLL 코드가종료될때까지기다린다. DLL 코드는 remote thread, 즉외부 Process 영역에서동작하며, 필요한작업을한뒤 return 되는데, return 되고난뒤에는만들어놓은 thread 를종료하면된다. int InjectDll() { // Get remote process id

29 dwpid = GetPIDFromName(szProcessName); if (dwpid == -1) return 0; // Open remote process hprocess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwpid); if (hprocess == NULL) return 0; // Get full path of the DLL if (!GetModuleFileName(hInst, szlibpath, MAX_PATH)) return 0; strcpy(strrchr(szlibpath, '\\') + 1, szdllname); // Allocate memory in the remote process to store the szlibpath string plibremote = VirtualAllocEx(hProcess, NULL, sizeof(szlibpath), MEM_COMMIT, PAGE_READWRITE); if (plibremote == NULL) return 0; // Copy the szlibpath string to the remote process. if (!WriteProcessMemory(hProcess, plibremote, (void*)szlibpath, sizeof(szlibpath), NULL)) return 0; // Load the DLL into the remote process hthread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),

30 "LoadLibraryA"), plibremote, 0, NULL); // Wait for LoadLibrary() to finish and get return code WaitForSingleObject(hThread, INFINITE); GetExitCodeThread(hThread, &hlibmodule); CloseHandle(hThread); CloseHandle(hProcess); // Free remote memory for szlibpath VirtualFreeEx(hProcess, plibremote, sizeof(szlibpath), MEM_RELEASE);} iii. CreateRemoteThread & WriteProcessMemory 위의 Injection 에서는 DLL을외부스레드가실행하는것이었지만이방법은원하는데이터를원하는 Process 안에넣어코드를실행하는것이다. 위의방법과마찬가지로원하는 Process의핸들을얻고 Process에공간을할당하고 INJDATA라는원하는데이터가들어있는구조체를만들어 Process안에 WriteProcessMemory 를이용하여써넣는다. 그렇게넣어진데이터를외부스레드즉 CreateRemoteThread를이용하여실행시키는것이다. 그림을보면알수있듯이가장아래에 VirtualAlloc 을사용하여 INJDATA 를써넣는것 을볼수있다. INJDATA 의내용은 DLL 의코드이며이전방법과는다른목표 Process 에 서 Injection 할 DLL 의코드를직접실행하는것이다

31 위구조체에사용할 DLL 의코드와정보를넣는다. 이정보들은 Remoted 프로세스의 address 영역에넣어서사용하며, 여기에저장된내용은실행할때나, 사용할프로시저나 함수의포인터, 내부변수등을저장하게된다. 인젝션하는방법은위의방법과마찬가지로모듈을얻어오는것부터시작하게된다. 하지 만우리가필요한함수는 LoadLibraryA 함수가아닌 SetWindowLongA, CallWndProcA 함수이기때문에다른모듈을얻어와야한다. // Get handle of "USER32.DLL" huser32 = GetModuleHandle("user32"); 얻어오는모듈의핸들은바로 user32 이다. 이곳에서원하는함수를얻게된다. // Open remote process hprocess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID); 원하는프로세스를열고, // Allocate memory in the remote process and write a copy of initialized INJDATA into it size = sizeof(injdata); pdataremote = (PBYTE) VirtualAllocEx(hProcess, 0, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 실행할코드가들어있는 INJDATA 만큼의공간을할당한다 WriteProcessMemory(hProcess, pdataremote, &DataLocal, size, &dwnumbytescopied) 할당된공간에 INJDATA DataLocal 을써넣는다. 다음은 RemoteThread 를위한공간을할당하고데이터를써넣을차례이다. pgetsaswndremote = (PBYTE) VirtualAllocEx(hProcess, 0, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(hProcess, pgetsaswndremote, &GetSASWnd, size, &dwnumbytescopied)

32 다음은 RemoteThread 를만들고원하는함수를실행시킨다. // Start execution of remote GetSASWnd() hthread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE) pgetsaswndremote, pdataremote, 0, &dwthreadid); 다음은위의방법과마찬가지로 DLL 의실행이끝나길기다린후종료시킨다. // Wait for GetSASWnd() to terminate and get return code (SAS Wnd handle) WaitForSingleObject(hThread, INFINITE); GetExitCodeThread(hThread, (PDWORD) &hsaswnd); 여기까지가 WriteProcessMemory와 CreateRemoteThread를이용한 DLL Injection 부분이다. 사실누락된내용도많지만누락된내용은다양한문서와완성되어공개된프로그램들이많으니그걸보고해도될것같다. 이와같은방법으로작업관리자를막거나프로그래머가원하는어떤키를막는것이가능하다. B. FilterDriver I. 필터드라이버란? 위에서설명했던것과같이윈도우에는 KernelMode가있다. 그모드에서하는 Hooking 을할수있는방법중하나가 FilterDriver 이다. 먼저필터드라이버를간단하게설명하자면 WDM(Windows Driver Model) 은계층드라이버아키텍처를갖는다. 여러개의계층으로이루어진드라이버사이에새로운드라이버를끼워넣을수있다. 거의모든하드웨어장치는그것을지원하기위한드라이버체인이존재한다. 가장낮은계층의드라이버는하드웨어장치와버스를직접처리하고, 가장높은계층은데이터를구조화한다. 이그림을필터드라이버를형상화한그림이다. i8042prt라는드라이버가가장상위에있으며그체인으로밑에여러개의드라이버들이묶여있는것이보인다. 가장아래에있는낮은계층의드라이버는하드웨어장치와버스를직접처리하며, 가장높은계층은데이터를구조화한다. 필터드라이버를더세부적으로나눌수있다. Function Device Object 를기준으로위에있는것들을 Upper Filter Driver 이며아래 에있는것들은 Lower Filter Driver 라한다. Class Filter Driver 는같은종류의디바 이스를망라하는드라이버라할수있다. 예를들면 Keyboard 는그타입이여러가지가

33 있는데 PS/2 라던지 USB 같은것을말한다. 이렇게묶여있을경우에는어떤종류던지 간에제어가가능하다. Device Filter Driver 는특정 Device 에만설치가되는필터드라이버를말한다. 예를들어 USB 로 Printer 를사용하고있을때이프린터드라이버에만설치가되는것이 Device Filter Driver 이다. 드라이버가디바이스에종속된다고생각하면쉽다. Bus Filter Driver 는 USB 같은특정버스드라이버에대해필터링하는드라이버이다. ii. IRP 윈도우프로그래밍은메시지구동방식이라는것을알고있을것이다. 윈도우프로그램은사용자가특정작업 ( 마우스클릭, 키보드입력, 메뉴선택등 ) 을하게되면그것에해당하는윈도우메시지라는것이발생하며윈도우에서는해당메시지를현재활성화되어있는프로그램의메시지큐에집어넣게된다. 그럼프로그램은메시지큐에서메시지를가져와서적절한처리를하게되는것이다. 드라이버역시이와비슷한동작을한다. 드라이버는로딩이성공적으로이루어지면할당된메모리에대기하고있다가자신이컨트롤하고있는디바이스에특정한요청이왔을때윈도우에서보내주는요청정보를토대로적절한동작을하게된다. 이때윈도우프로그램이특정메시지를처리하기위해해당메시지값과그에관련된정보들이들어있는 MSG라고하는구조체를파라미터로받아처리하듯드라이버역시이와같은특정요청에관련된정보들을함수의파라미터로받게된다. 이러한정보들을담은정의된구조체가바로 IRP 이다. 필터드라이버와하드웨어가통신을할때 I/O Manager 에서는 IRP 를만들게된다. 이 IRP 는여러가지정보를담고있으며해당드라이버의위에서아래로아래에서위로정보 가이동하게된다. 이때필터드라이버는그정보가내려올때필터링하는방법과정보가

34 올라올때필터링하는방법중하는방법중선택하여프로그래밍할수있다. 위에서말했던것처럼필터드라이버는 IRP라는메시지와비슷한방식으로동작한다고말했었다. 아래에있는그림들은프로그래밍시에사용되는 IRP 이다. 처리루틴에서는자신이원하는 IRP가들어왔을때루틴이동작하게된다. 이 IRP들을통해 APP와통신을하거나, 다른드라이버로부터받은요청을처리하거나통신을하거나할수있게된다. // major funciton 설정 for( i = 0; i < IRP_MJ_MAXIMUM_FUNCTION i++ ) { pdrvobj->majorfunction[ i ] = IrpSkip } pdrvobj->majorfunction[ IRP_MJ_READ ] = KeyReadRoutine

35 pdrvobj->driverunload = DriverUnload IRP 에정의되어있는 MajorFuction 의개수는 27 개이고이중에프로그래머가원하지않 는 IRP 가발생했을때 IrpSkip 을하여해당 IRP 를다음드라이버에게보내는작업을하 게된다. 위코드가그러한동작을하는코드이다. 그리고내가원하는 IRP_MJ_READ 처리루틴은 따로만들어서이러한 IRP 가발생했을때 KeyReadRoutione 이라는루틴이동작하는 것이다. 위코드가 IRP_MJ_READ 라는 IRP 가발생했을때동작하는루틴이다. 이챕터는 KernelMode 에서 Keyboard Hooking을위해쓰여진글이지만이글을보고는절대로만들수가없다. 사실 Keyboard Filter 드라이버를만들기위해서는많은지식과정보가필요하며따로 KernelMode 프로그래밍에대한공부도해야하기때문이다. DDK 를사용하여프로그래밍하기때문에선수학습이많이요구된다.

36 C. DKOM(Direct Kenel Object Manipulation) 커널은실행중인프로세스나드라이버, 포트들의정보를커널객체에저장하여작성하며커널객체는프로세스리스트와드라이버리스트를이중연결리스트를이용하여관리한다. 이중연결리스트값을수정하면프로세스와드라이버를숨길수있다. 커널은 EPROCESS 객체를생성하여프로세스를관리하는데 EPROCESS 객체의멤버중 ActiveProcessLinks 는연결리스트구조체이다. 이멤버를사용하여프로세스들은서로 연결되어있다. 그림처럼숨길프로세스는자기를가리키게하고앞뒤의프로세스의연결리스트를조작 하는것만으로도간단히숨길수있다. EPROCESS 구조체를 WinDBG를이용해서본그림이며 LIST_ENTRY에 FLINK와 BLINK의값들이들어있다. 위의값을받아와서조작함으로써원하는결과를얻을수있다. 위기능은원하는프로세스를숨기는기능을하는데혼자서는동작할수가없다. 왜냐하면자신이숨길프로세스가뭔지모르기때문이다. 위의코드가동작하는이유는자신의 APP를숨기기위해서인데숨길 APP는 UserMode 에서돌아가는 RootKit 이기때문이다. APP에서드라이버를로딩하며드라이버에게자신의프로세스이름을알려줄수있어야한다. APP가로딩이된후자신의 PID를알아내어드라이버에게전달하면효과적으로숨길수있다. while( bprocessfound ) {

37 bprocessfound = Process32Next( hsnapshot, &ProcessEntry32 ); tempprocessname = ProcessEntry32.szExeFile processname = tempprocessname if(!strcmp( tempprocessname, processname ) ) { CloseHandle( hsnapshot ); char *ndatacopy = new char[ sizeof( int ) + 1 ]; sprintf( ndatacopy, "%d", ProcessEntry32.th32ProcessID ); ndata = new BYTE[ 5 ]; } } for( int i = 0; i < 5; i ++ ) { ndata[ i ] = ( BYTE )ndatacopy[ i ]; } return ndata 위와같은코드로원하는프로세스의 ID 를얻을수있다. 그정보를로드한드라이버에게 전달하면드라이버파일이효과적으로프로세스를숨기는것을확인할수있을것이다.

38 Chpter 4. Malware Information Malware Infomation md5 : caed24c44ecc0cfc142b1a004ee8017d SHA1 : b7b9aeb dc71b0d536d2daca701e09454 File Format : MS-DOS executable PE for MS Windows (GUI) x86 32bit Packer Signiture : malware is packed but packer is unknown Type : Troyjan - downloader 1. 주요기능 Process 다운로드받은프로그램을실행방화벽예외목록에프로그램추가 Registry 윈도우재시작시다시실행을위하여레지스트리수정작업관리자무력화 Network 외부페이지로접속하여현재시스템정보송출및파일다운로드시도 2. 코드구조 START MessageLoop _stdcall D8 윈도우방화벽예외처리 작업관리자무력화 시스템정보수집 _stdcall EF 이악성코드는메시지루프를가지고이벤트드리븐방식으로구동되는윈도우프로그램이다. 메시지루프에들어가기전에윈도우방화벽에예외항목으로자기자신을등록하고, 작업관리자를무력화시키며시스템정보를수집한다. 파일할당 파일다운로드 파일실행 특정주소에접속파일다운로드 _stdcall A 에러핸들링 그뒤에는어떤메시지에따른콜백함수가호출되는데이함수는파일을할당하고다운로드하며실행한다. 그외에예외핸들링을기능으로하는것으로보이는함수도있다.

39 3. 세부기능 Process 방화벽예외목록에프로그램추가 메시지루프가실행되는함수내부에는 MS Windows NT 계열에네트워크관리용으로제공되는유틸리티인 netsh를이용하여방화벽에자기자신을예외처리를하는루틴이존재한다. 이루틴은현재실행되는모듈의파일이름을받아오는 API인 GetModuleFileName과인수를포함한명령어를실행하는 API인 WinExec를이용하여구동된다. 다운로드받은프로그램을실행 시작주소가 0x004017D8 인 Callback 함수인내부에서다른루틴에서다운로드받은 프로그램을 CreateProcess 를이용하여이전에다운로드받은프로그램을실행한다. 다 운로드받은파일은다른악의적인프로그램으로예상된다.

40 Registry 윈도우재시작시다시실행을위하여레지스트리수정 작업관리자무력화

41 Network 외부페이지로접속하여현재시스템정보송출및파일다운로드시도 - 시스템정보수집및처리 윈도우나시스템의정보를얻어오는 API 를이용하여정보를얻어오고이를이용하여 어떤쿼리를만들어낸다. 0x004017D8 에서시작하는콜백함수에는위에서만들어진쿼리를이용하여특정 URL 에접속하고파일을다운로드받아저장한다. 위콜백함수에서는 0x 를호출하는데이함수는 0x004012EF 를시작으로하는 스레드를만들고스레드가생성되면서 EF 는 Callback 되어진다. 이함수는아래와같은루틴을수행한다.

42 여기있는 GetProcAddress 함수를이용하여 WININET.DLL 에 Export 한함수의주소 를받아온다. 각각받아온함수의주소는 MOV DWORD PTR SS:[EBP-??] 에저장 되며이주소를이용하여함수를실행한다. EBP-28 에저장되어있는주소의함수를사용한다. 이함수는 InternetOpenUrlA 이며, 이함수를통해서인터넷에있는파일의다운로드를시도한다. ( 하지만현재는이주소 를통해다운로드가불가능하다.) 다운로드를시도하는 URL 은다음과같다. " " " " 4. 그외 위악성코드는패킹되어있긴하지만알려지지않은방법으로패킹되어있었기때문에, OEP 를 수동으로찾아그부분부터 Dump 하여바이너리를재구성하였다.

루트킷.doc

루트킷.doc RootKit Univ.Chosun HackerLogin : Jeong Kyung Ho Email : moltak@gmail.com Contents 1. 루트킷이란? 2. Windows Architecture 3. Driver Development Kit 4. 루트킷제작에사용되는기술 A. Hooking B. Filter Driver C. DKOM 5. 결론

More information

Content 1. DLL? 그게뭐야?

Content 1. DLL? 그게뭐야? DLL Injection 은어떻게이루어지는가? By bl4ck3y3 (http://hisjournal.net/blog) Abstract 루트킷을비롯하여바이러스, 악성코드등여러분야에두루쓰이는기법이 DLL Injection입니다. Windows에한정되어적용되는것이지만, Windows 자체의점유율이높은이유로아주효과적으로공격자가원하는작업을수행할수있는방법이죠. 최근루트킷에대해공부하면서이

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

DLL Injection

DLL Injection DLL Injection REVERSING CreateRemoteThread() 를중점으로 DLL Injection 에대하여설명 [ Rnfwoa] 김경민 목차 목차 1 개요 1 2 DLL ( Dynamic Link Library ) 2 3 AppInit_DLLs 3 4 원격스레드생성 5 4.1 핸들확보 6 4.2 공간할당 7 4.3 DLL Name 기록 8

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

AhnLab_template

AhnLab_template Injection 기법및분석법 공개버전 2014.04.17 안랩시큐리티대응센터 (ASEC) 분석팀차민석책임연구원 Contents 01 02 03 04 05 06 07 왜 Injection 기법인가? Injection 기법배경지식 DLL Inection 기법 Code Injection 기법유용한도구 Case study 맺음말및과제 01 왜 Injection 기법인가?

More information

컴퓨터관리2번째시간

컴퓨터관리2번째시간 Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,

More information

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서 커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드

More information

Install stm32cubemx and st-link utility

Install stm32cubemx and st-link utility STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할 악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection

More information

MF5900 Series MF Driver Installation Guide

MF5900 Series MF Driver Installation Guide 한국어 MF 드라이버설치설명서 사용자소프트웨어 CD-ROM................................................ 1.................................................................... 1..............................................................................

More information

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D> 뻔뻔한 AVR 프로그래밍 The Last(8 th ) Lecture 유명환 ( yoo@netplug.co.kr) INDEX 1 I 2 C 통신이야기 2 ATmega128 TWI(I 2 C) 구조분석 4 ATmega128 TWI(I 2 C) 실습 : AT24C16 1 I 2 C 통신이야기 I 2 C Inter IC Bus 어떤 IC들간에도공통적으로통할수있는 ex)

More information

슬라이드 1

슬라이드 1 핚국산업기술대학교 제 14 강 GUI (III) 이대현교수 학습안내 학습목표 CEGUI 라이브러리를이용하여, 게임메뉴 UI 를구현해본다. 학습내용 CEGUI 레이아웃의로딩및렌더링. OIS 와 CEGUI 의연결. CEGUI 위젯과이벤트의연동. UI 구현 : 하드코딩방식 C++ 코드를이용하여, 코드내에서직접위젯들을생성및설정 CEGUI::PushButton* resumebutton

More information

Chapter #01 Subject

Chapter #01  Subject Device Driver March 24, 2004 Kim, ki-hyeon 목차 1. 인터럽트처리복습 1. 인터럽트복습 입력검출방법 인터럽트방식, 폴링 (polling) 방식 인터럽트서비스등록함수 ( 커널에등록 ) int request_irq(unsigned int irq, void(*handler)(int,void*,struct pt_regs*), unsigned

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 개발환경구조및설치순서 JDK 설치 Eclipse 설치 안드로이드 SDK 설치 ADT(Androd Development Tools) 설치 AVD(Android Virtual Device) 생성 Hello Android! 2 Eclipse (IDE) JDK Android SDK with

More information

In this tutorial i'll try to cover all of the known methods(or at least, those that I know =p) of injecting dll's into a proce

In this tutorial i'll try to cover all of the known methods(or at least, those that I know =p) of injecting dll's into a proce DLL injection Written by Darawk 편역 : poc@securityproof.net * 이글은 Codebreakers Journal Vol.1, No.1, 2007 에서발표된것이며, 오역이나 오타가있을수있으니원문을참고시기바랍니다. 이문서에서, 나는프로세스에 dll을삽입하는알려진 ( 적어도내가아는한에서 ) 방법들모두를다룰것이다. Dll injection은

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

Microsoft Word - Armjtag_문서1.doc

Microsoft Word - Armjtag_문서1.doc ARM JTAG (wiggler 호환 ) 사용방법 ( IAR EWARM 에서 ARM-JTAG 로 Debugging 하기 ) Test Board : AT91SAM7S256 IAR EWARM : Kickstart for ARM ARM-JTAG : ver 1.0 ( 씨링크테크 ) 1. IAR EWARM (Kickstart for ARM) 설치 2. Macraigor

More information

Deok9_Exploit Technique

Deok9_Exploit Technique Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security

More information

ISP and CodeVisionAVR C Compiler.hwp

ISP and CodeVisionAVR C Compiler.hwp USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드] 리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

4S 1차년도 평가 발표자료

4S 1차년도 평가 발표자료 모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

공지사항

공지사항 상명사이버캠퍼스 군이러닝 강좌 학습안내 1. 사이버캠퍼스 접속방법 브라우저 주소창에서 직접 http://cyber.smu.ac.kr 입력하여 접속합니다. : 추천 2. 개설강좌 및 수업 안내 가. 개설과목 : 컴퓨터와정보사회(군인) 나. 수업시작 : 2015. 9.1(화) 10:00 이후부터 다. 평가방법 1) 중간, 기말고사는 off-line

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro

1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro #44u61l5f GameGuard 에대한간단한분석. By Dual5651 (http://dualpage.muz.ro) 요약 : 이문서는분석자의입장에서 GameGuard의동작을모니터링한것에대한것입니다. 실제 GameGuard의동작방식과는다소차이가있을수있습니다. 이문서에등장하는모든등록상표에대한저작권은해당저작권자에게있습니다. 1. Execution sequence

More information

DE1-SoC Board

DE1-SoC Board 실습 1 개발환경 DE1-SoC Board Design Tools - Installation Download & Install Quartus Prime Lite Edition http://www.altera.com/ Quartus Prime (includes Nios II EDS) Nios II Embedded Design Suite (EDS) is automatically

More information

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO Windows 7 설치및 PCIE RAID 설정정보 DK173 초판 11월 2016 A. Windows 7 및 USB 드라이버설치 칩셋사양에따라 Windows 7 설치중에 USB 키보드 / 마우스를사용하려면시스템에서 USB 드라이버를사전로드해야합니다. 이절에서는 USB 드라이버사전로드방법과 Windows 7 설치방법에대해서설명합니다. 방법 1: SATA ODD

More information

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드] Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

Title Here

Title Here INNOWATCH V3.0.4 IPLAYBACK 설치매뉴얼 작성일 : 2015/04/20 최근업데이트 : 2016/06/27 Software Version : 3.0.4 문서관리 수정내역 일자작업자버전수정내용 2015/05/14 김창희양식수정 2016/05/20 김진규 N/A Preinstall 내용수정, 문서양식변경 검토자 이름 이영상 지위 기술본부이사 Distribution

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

ICAS CADWorx SPLM License 평가판설치가이드

ICAS CADWorx SPLM License 평가판설치가이드 ICAS CADWorx SPLM License 평가판설치가이드 CADWorx SPLM License 평가판설치가이드 설치권장사항 Operating System Compatibility ( 반드시 AutoCAD 가설치되어있어야합니다.) 추천시스템 3.0 GHz Intel Pentium IV or greater Windows XP Professional or later

More information

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63> SAM4S Printer Driver Installer 달리명시하지않은한, 인쇄또는복사된문서는통제하지않는문서임 목 차 1. 1. WINDOWS DRIVER INSTALLER 설치 설치...... 2 2. 프린터추가...... 5 3. 프린터제거...... 19 4. 프린터추가 / 제거선택...... 21 5. 프로그램추가 / 제거...... 21 SHC- 11-01-

More information

untitled

untitled 시스템소프트웨어 : 운영체제, 컴파일러, 어셈블러, 링커, 로더, 프로그래밍도구등 소프트웨어 응용소프트웨어 : 워드프로세서, 스프레드쉬트, 그래픽프로그램, 미디어재생기등 1 n ( x + x +... + ) 1 2 x n 00001111 10111111 01000101 11111000 00001111 10111111 01001101 11111000

More information

API 매뉴얼

API 매뉴얼 PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

<41736D6C6F D20B9AEBCADBEE7BDC42E687770> IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 - Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다.

More information

vRealize Automation용 VMware Remote Console - VMware

vRealize Automation용 VMware Remote Console - VMware vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation

More information

JDK이클립스

JDK이클립스 JDK 와이클립스설치 A. JDK 다운로드, 설치및환경설정 지금부터 JDK를다운로드받아설치하고 JDK를윈도우에서활용할수있도록환경을설정하는전과정을소개한다. 다운로드 www.oracle.com 사이트에접속하여 Downloads 메뉴를선택한후 [ 그림 1] 과같이 "Java for Developers" 를클릭한다. [ 그림 1] www.oracle.com 사이트

More information

manual pdfÃÖÁ¾

manual pdfÃÖÁ¾ www.oracom.co.kr 1 2 Plug & Play Windows 98SE Windows, Linux, Mac 3 4 5 6 Quick Guide Windows 2000 / ME / XP USB USB MP3, WMA HOLD Windows 98SE "Windows 98SE device driver 7 8 9 10 EQ FM LCD SCN(SCAN)

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working

More information

슬라이드 1

슬라이드 1 -Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역

More information

07_alman.hwp

07_alman.hwp 1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.

More information

Microsoft Word - HD-35 메뉴얼_0429_.doc

Microsoft Word - HD-35 메뉴얼_0429_.doc 자주 묻는 질문들...2 제품의 특장점...3 안전을 위한 주의사항...5 사용을 위한 주의사항...5 각 부분의 이름...6 HD-35 조립/분리하기...7 PC와 USB 케이블 연결하기...8 1. 윈도우 98/ME에서 설치과정...9 2. NTFS를 FAT32 포맷방식으로 바꾸기...11 설치 및 연결하기...14 1. 비디오 연결방법...14 2. 오디오

More information

Windows Live Hotmail Custom Domains Korea

Windows Live Hotmail Custom Domains Korea 매쉬업코리아2008 컨퍼런스 Microsoft Windows Live Service Open API 한국 마이크로소프트 개발자 플랫폼 사업 본부 / 차세대 웹 팀 김대우 (http://www.uxkorea.net 준서아빠 블로그) Agenda Microsoft의 매쉬업코리아2008 특전 Windows Live Service 소개 Windows Live Service

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

Adobe Flash 취약점 분석 (CVE-2012-0754)

Adobe Flash 취약점 분석 (CVE-2012-0754) 기술문서 14. 08. 13. 작성 GNU C library dynamic linker $ORIGIN expansion Vulnerability Author : E-Mail : 윤지환 131ackcon@gmail.com Abstract 2010 년 Tavis Ormandy 에 의해 발견된 취약점으로써 정확한 명칭은 GNU C library dynamic linker

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture3-2 Malware Analysis #3-2 Agenda 안드로이드악성코드분석 악성코드분석 안드로이드악성코드정적분석 APK 추출 #1 adb 명령 안드로이드에설치된패키지리스트추출 adb shell pm list packages v0nui-macbook-pro-2:lecture3 v0n$

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

Microsoft PowerPoint - 09-CE-5-윈도우 핸들

Microsoft PowerPoint - 09-CE-5-윈도우 핸들 순천향대학교컴퓨터학부이상정 1 학습내용 윈도우핸들 윈도우찿기 윈도우확인및제거 윈도우숨기기 윈도우포커스 윈도우텍스트 윈도우핸들 순천향대학교컴퓨터학부이상정 3 핸들 (handle) 윈도우에서구체적인어떤대상을구분하기위해지정되는고유의번호 32비트의정수값 핸들은운영체제가발급하고사용자가이값을사용 실제값이무엇인지는몰라도상관없음 윈도우, DC, 브러쉬등등 순천향대학교컴퓨터학부이상정

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

Microsoft Word - [Windows Hook] 6.HideProcess.doc

Microsoft Word - [Windows Hook] 6.HideProcess.doc Hide Process Last Update : 2007 년 6 월 11 일 Written by Jerald Lee Contact Me : lucid78@gmail.com 본문서는 SSDT Hook을이용한프로세스를감추는기술에대해정리한것입니다. 제가알고있는지식이너무짧아가급적이면다음에언제보아도쉽게이해할수있도록쓸려고노력하였습니다. 기존에나와있는여러훌륭한문서들을토대로짜집기의형태로작성되었으며기술하지못한원문저자들에게매우죄송할따름입니다.

More information

Microsoft PowerPoint - chap06-2pointer.ppt

Microsoft PowerPoint - chap06-2pointer.ppt 2010-1 학기프로그래밍입문 (1) chapter 06-2 참고자료 포인터 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 한빛미디어 출처 : 뇌를자극하는 C프로그래밍, 한빛미디어 -1- 포인터의정의와사용 변수를선언하는것은메모리에기억공간을할당하는것이며할당된이후에는변수명으로그기억공간을사용한다. 할당된기억공간을사용하는방법에는변수명외에메모리의실제주소값을사용하는것이다.

More information

DocsPin_Korean.pages

DocsPin_Korean.pages Unity Localize Script Service, Page 1 Unity Localize Script Service Introduction Application Game. Unity. Google Drive Unity.. Application Game. -? ( ) -? -?.. 준비사항 Google Drive. Google Drive.,.. - Google

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기 Mango-IMX6Q mfgtool 을 이용한이미지 Write 하기 http://www.mangoboard.com/ http://cafe.naver.com/embeddedcrazyboys Crazy Embedded Laboratory www.mangoboard.com cafe.naver.com/embeddedcrazyboys CRZ Technology 1 Document

More information

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L 1,000 AP 20,000 ZoneDirector 5000. IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. WLAN LAN Ruckus Wireless (ZD5000),, WLAN. 20,000 2,048 WLAN ZD5000 1,000 ZoneFlex

More information

슬라이드 1

슬라이드 1 강력한성능! 인터넷 / 업무용데스크탑 PC NX-H Series Desktop PC NX1- H700/H800/H900 NX2- H700/H800/H900 NX1-H Series 사양 Series 제품설명 ( 모델명 ) NX1-H Series, 슬림타입 기본형모델중보급형모델고급형모델 NX1-H800:112SN NX1-H800:324SN NX1-H800:534MS

More information

PCServerMgmt7

PCServerMgmt7 Web Windows NT/2000 Server DP&NM Lab 1 Contents 2 Windows NT Service Provider Management Application Web UI 3 . PC,, Client/Server Network 4 (1),,, PC Mainframe PC Backbone Server TCP/IP DCS PLC Network

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures 단일연결리스트 (Singly Linked List) 신찬수 연결리스트 (linked list)? tail 서울부산수원용인 null item next 구조체복습 struct name_card { char name[20]; int date; } struct name_card a; // 구조체변수 a 선언 a.name 또는 a.date // 구조체 a의멤버접근 struct

More information

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터 운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다 공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는

More information

PowerPoint Presentation

PowerPoint Presentation GPU-based Keylogger Jihwan yoon 131ackcon@gmail.com Index Who am I Keylogger, GPU GPU based Keylogging - Locating the keyboard buffer - Capturing KEYSTROKES Demo About me Who am I 윤지환 CERT-IS reader BOB

More information

H3250_Wi-Fi_E.book

H3250_Wi-Fi_E.book 무선 LAN 기능으로 할 수 있는 것 2 무선 LAN 기능으로 할 수 있는 것 z q l D w 3 Wi-Fi 기능 플로우차트 z q l D 4 Wi-Fi 기능 플로우차트 w 5 본 사용 설명서의 기호 설명 6 각 장별 목차 1 2 3 4 5 6 7 8 9 10 11 12 13 14 7 목차 1 2 3 4 8 목차 5 6 7 8 9 9 목차 10 11 12

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

C 프로그래밍 언어 입문 C 프로그래밍 언어 입문 김명호저 숭실대학교 출판국 머리말..... C, C++, Java, Fortran, Python, Ruby,.. C. C 1972. 40 C.. C. 1999 C99. C99. C. C. C., kmh ssu.ac.kr.. ,. 2013 12 Contents 1장 프로그래밍 시작 1.1 C 10 1.2 12

More information

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration

More information

C++ Programming

C++ Programming C++ Programming 예외처리 Seo, Doo-okok clickseo@gmail.com http://www.clickseo.com 목 차 예외처리 2 예외처리 예외처리 C++ 의예외처리 예외클래스와객체 3 예외처리 예외를처리하지않는프로그램 int main() int a, b; cout > a >> b; cout

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 System call table and linkage v Ref. http://www.ibm.com/developerworks/linux/library/l-system-calls/ - 2 - Young-Jin Kim SYSCALL_DEFINE 함수

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

Chapter ...

Chapter ... Chapter 4 프로세서 (4.9절, 4.12절, 4.13절) Contents 4.1 소개 4.2 논리 설계 기초 4.3 데이터패스 설계 4.4 단순한 구현 방법 4.5 파이프라이닝 개요*** 4.6 파이프라이닝 데이터패스 및 제어*** 4.7 데이터 해저드: 포워딩 vs. 스톨링*** 4.8 제어 해저드*** 4.9 예외 처리*** 4.10 명령어 수준

More information

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF

More information

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478>

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478> 웹과 인터넷 활용 및실습 () (Part I) 문양세 강원대학교 IT대학 컴퓨터과학전공 강의 내용 전자우편(e-mail) 인스턴트 메신저(instant messenger) FTP (file transfer protocol) WWW (world wide web) 인터넷 검색 홈네트워크 (home network) Web 2.0 개인 미니홈페이지 블로그 (blog)

More information

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 [ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500

More information

Microsoft PowerPoint - polling.pptx

Microsoft PowerPoint - polling.pptx 지현석 (binish@home.cnu.ac.kr) http://binish.or.kr Index 이슈화된키보드해킹 최근키보드해킹이슈의배경지식 Interrupt VS polling What is polling? Polling pseudo code Polling 을이용한키로거분석 방어기법연구 이슈화된키보드해킹 키보드해킹은연일상한가! 주식, 펀드투자의시기?! 최근키보드해킹이슈의배경지식

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information