GSC Incident Report-바이킹 바이러스 분석
|
|
- 우연 장
- 6 years ago
- Views:
Transcription
1 GSC Incident Report- 바이킹바이러스분석 1. 작성일시 : :17(GMT +09:00) 2. 작성자 : 안창용 / 바이러스분석팀 3. 바이킹바이러스에대해서바이킹바이러스는 2005 년 2 월경최초발견된후잠시주춤하다가 2005 년 5 월부터국내에서웹해킹을통한악성코드유포사례가이슈화되면서 Internet Explorer 의취약성을공격하는 Exploit 과함께유포되는방식으로변경되었고지금까지다수의변종이발견되었다. 바이킹바이러스는다양한루트를통해자신을확산시킬수있는기능을가지고있어완벽한해결이어렵기때문에이번 Incident Report 를통해서어떻게하면바이킹바이러스에의한감염피해를최소한으로줄이고안전한컴퓨팅환경을만들수있는지알아본다. 4. 왜, 바이킹바이러스라명명되었나? 바이킹바이러스는특정백신의서비스를멈추려고하는루틴과.exe 확장자를가진파일을감염시키는 virus 기능을갖고있는데이두가지의특징이합쳐져바이킹 (Viking) 으로명명된것으로추정된다. 0x407AC1: 6A00 PUSH 0x0 Virus + Kingsoft = Viking 0x407AC3: 68C47B4000 PUSH 0x407BC4 ; DATA:net stop "Kingsoft AntiVirus Service" 0x407AC8: E8ABC9FFFF CALL 0x <--- WinExec 5. 바이킹바이러스, 어떻게확산되나? 바이킹바이러스의주확산경로는아래와같다. Int erne t Explorer 의취약성과함께 파일감염 (*.exe 확장자를가진파일 ) 관리목적의공유폴더 ( I PC$, Admin$, C$ 등) 또는공유폴더 5-1. Internet Explorer 의취약성과함께 웹해킹과함께사용되는 Internet Explorer 의주요취약점 * MS : * MS : * MS : * MS : * MS : 웹해킹을통한악성코드유포사례가이슈화되기시작했던 2005 년 5 월부터주로 MS 와 MS 에기술된취약점을사용하였고, MS 취약성과함께악성코드유포사례가발견되면서그당시해당취약점을사용한사례가증가할것으로예상했지만그렇지않았으며, 최근들어 MS 에기술된취약점을사용한유포사례가주를이루고있다. exploit 들은 AV 제품의탐지를회피하기위해스트링 (string) 단위로코드를분할하거나코드를다중암호화된형태로유포되고있으며쉽게변형이가능하기때문에 AV 제품에서해당 exploit 을탐지하는데한계가있다. 스트링 (string) 단위로분할된경우 : str1="micro", str2="soft.x", str3="mlh", str4="ttp" str = str1 + str2 + str3 + str4,
2 암호화된경우 HtmlStrings=["=ujumf>=0ujumf>=ifbe>=0ifbe>=cpez>=tdsjqu!mbohvbhf>#W", "CTdsjqu#>po!fssps!sftvnf!ofyu 해킹된웹사이트를통해서유포되는악성코드의대부분은아래와같은형식을사용한다. [ 그림 1. 바이킹바이러스유포경로 ] 5-2. 파일감염바이킹바이러스는 *.exe 파일을가진파일에자신의코드를삽입 ( 감염, Infection) 하여확산을시도하며해당작업을수행하기위해서는다음과같은조건을만족해야한다. 바이킹바이러스가 *.exe 파일을감염시킬조건 파일크기검사바이킹바이러스는수십개의변종이존재하므로각각의변종에서파일크기검사를하기위한조건이다르지만공통적으로 FindFirstFileA(), FindNextFileA(), GetFileSize() 를사용하여.exe 파일을검색하고파일크기를비교한후크거나파일을감염시키지않는다. 0x40992E: 56 PUSH ESI 0x40992F: 8D95B4FEFFFF LEA EDX,DWORD PTR [EBP-0x14C] 0x409935: B8049F4000 MOV EAX,0x409F04 ; DATA:*.exe 0x40993A: E811AEFFFF CALL 0x 중간생략---- 0x40994E: E8299AFFFF CALL 0x40337C 0x409953: 8B85B8FEFFFF MOV EAX,DWORD PTR [EBP-0x148] 0x409959: E8D29BFFFF CALL 0x x40995E: 50 PUSH EAX <--- lpfilename 0x40995F: E8ACA9FFFF CALL 0x <--- FindFirstFileA 0x409964: 8BF8 MOV EDI,EAX 0x409966: 83FFFF CMP EDI,0xFF 0x409969: 0F JE 0x4099F1 ; (*+0x88) [ 표 1. exe 파일을찾기위한루틴 ] 현재폴더에서 exe 파일을찾았다면 sub_ 를호출하여해당파일의크기를자신의조건과비교하기위한작업을수행하여조건과일치하면해당파일에자신의코드를삽입하고불일치하면감염시키지않는다.
3 vir.viking.j.un Section.Upack (0x ) 0x409556: 6A00 PUSH 0x0 0x409558: 53 PUSH EBX 0x409559: E802AEFFFF CALL 0x x40955E: 8BF0 MOV ESI,EAX 0x409560: 81FE0000A000 CMP ESI,0xA00000 <--- FileSize 비교 0x409566: 0F JAE 0x4096C4 <--- CloseHandle () [ 표 2. 파일크기비교 ] 특정문자열을사용하는일부폴더에저장된 *.exe 는제외지금까지나온바이킹바이러스특징중에하나가특정문자열을사용하는폴더에존재하는 exe 파일은감염시키지않는다는것인데이는 Windows OS 의중요폴더를감염시킬경우제작자가의도하는목적과반대되는현상이일어날수있는것을방지하기위한것이다.( 부팅불가, 속도저하, 특정파일실행불가등 ) Disassembly of 0x00409A9B 0x409A95: 8B8594FEFFFF MOV EAX,DWORD PTR [EBP-0x16C] 0x409A9B: BA549F4000 MOV EDX,0x409F54 ; DATA:system 0x409AA0: E80FACFFFF CALL 0x4046B4 <--- CompareStringA () 0x409AA5: 85C0 TEST EAX,EAX 0x409AA7: 0F840E JZ 0x409EBB ;(*+0x414) 0x409AAD: 8D8590FEFFFF LEA EAX,DWORD PTR [EBP-0x170] 0x409AB3: 8D562C LEA EDX,DWORD PTR [ESI+0x2C] 0x409AB6: B MOV ECX,0x104 0x409ABB: E85898FFFF CALL 0x [ 표 3. 특정조건검사 ] 위코드는바이킹바이러스가시스템폴더인지를검사하는루틴이며만약조건이일치하지않으면 0x409AA7를호출하여해당폴더에서 exe 파일을찾기위한작업을수행한다. 바이킹바이러스는아래문자열을가진폴더에대해서도 [ 표 3.] 과같은동일한작업을수행하여만약.exe 파일이존재한다면감염시키지않는다. winnt, windows, system, system32 Documents and Settings System Volume Information Recycled Program Files Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer ComPlus Applications, NetMeeting, Common Files, Messenger, Microsoft Office, InstallShield Installation Information, Microsoft Frontpage, Movie Maker, MSN Gaming Zone. [ 표 4. 바이킹바이러스에감염되지않는폴더목록 ] 파일감염바이킹바이러스는정상파일의앞부분에자신의코드를삽입하는전위형바이러스이다. 감염전 정 상 파 일 감염후 바 이 킹 정 상 파 일 [ 표 5. 감염전후파일구조 ] 바이킹바이러스가실행되면 %windir% 폴더에자신의복사본 (.exe,.dll) 을생성하고 %windir% Logo1_.exe %windir% rundl132.exe
4 %windir% Dll.dll 또는 vidll.dll 또는 vdll.dll 자신의코드를복제하기위한 *.exe 를검색하고조건이일치한 exe 파일을찾았을경우해당파일의앞부분에자신의코드를삽입한다. 감염된파일의크기는바이킹바이러스의원래크기만큼이증가하게되며아래로그는 Sysinternal( ternals.com) 사의 Filemon 을사용하여바이킹바이러스가정상파일에자신의코드를복제하는과정을로그로기록한것이다. Logo1_.exe:456 OPEN E: Analysis Hacview PEDUMP32.EXE SUCCESS Options: Open Access: All Logo1_.exe:456 QUERY INFORMATION E: Analysis Hacview PEDUMP32.EXE SUCCESS Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: <-- virus code Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: <-- file size Logo1_.exe:456 WRITE E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: Logo1_.exe:456 WRITE E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: Length: 4096 Logo1_.exe:456 SET INFORMATION E: Analysis Hacview PEDUMP32.EXE SUCCESS FileBasicInformation Logo1_.exe:456 CLOSE E: Analysis Hacview PEDUMP32.EXE SUCCESS [ 표 6. 바이킹바이러스의감염과정로그 ] [ 그림 2. 감염후 vs 전파일의앞부분 ] 이미감염된파일들의속성은감염될때의시간으로변경된다. [ 그림 3. 감염된파일의속성 ].Upack: lea eax, [ebp+lastwritetime].upack: c push eax ; lplastwritetime.upack: d lea eax, [ebp+lastaccesstime].upack: push eax ; lplastaccesstime.upack: lea eax, [ebp+creationtime].upack: push eax ; lpcreationtime.upack: push ebx ; hfile.upack: call GetFileTime.Upack: B push 0 ; dwmovemethod.upack: d push 0 ; lpdistancetomovehigh.upack: f push 0 ; ldistancetomove.upack: push ebx ; hfile.upack: call SetFilePointer
5 ---- 중간생략 ----.Upack:004096A9 ; sub_ j....upack:004096a9 lea eax, [ebp+lastwritetime].upack:004096ac push eax ; lplastwritetime.upack:004096ad lea eax, [ebp+lastaccesstime].upack:004096b0 push eax ; lplastaccesstime.upack:004096b1 lea eax, [ebp+creationtime].upack:004096b4 push eax ; lpcreationtime.upack:004096b5 push ebx ; hfile.upack:004096b6 call SetFileTime.Upack:004096BB mov edx, esi.upack:004096bd mov eax, edi.upack:004096bf call sub_4024b4 [ 표 7. 감염된파일의속성을설정하는루틴 ] 기타증상 바이킹바이러스는윈도우가부팅할때자동으로실행되도록아래루틴을사용하여자신의값을추가하며일부루틴은분석될 수없도록암호화되어있다. HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion load="%windir% rundl132.exe".upack:004077f5 lea eax, [ebp+szshortpath].upack:004077fb push eax.upack:004077fc lea edx, [ebp+var_120].upack: mov eax, offset _str 1.Text <--- 암호화되어있는 Subkey.Upack: call sub_404af8 <--- 암호화된 Subkey 를복호화하는루틴.Upack: C mov eax, [ebp+var_120].upack: ; System:: linkproc LStrToPChar(void).Upack: mov edx, eax.upack: mov ecx, offset dword_4078ac <--- load.upack: e mov eax, h <--- HKEY_CURRENT_USER.Upack: call sub_4053e8 <--- 레지스트리관련셋팅 API 함수호출루틴 [ 표 8. 자동실행루틴 ] 감염된파일이존재하는폴더마다감염시간이저장된 _desktop.ini 를생성한다. ex) 시스템시간 : 2006 년 10 월 30 일경우 => _desktop.ini 에는 2006/10/30 으로저장된다. 감염된파일이실행될때마다 %temp% 폴더에 % 랜덤파일명 %.bat 를생성하며아래와같은내용을저장하고있다. 이는감염된파일이실행되면앞부분에삽입되었던바이러스코드가분리되어 %windir% Logo_1.exe( 바이킹의복사본 ) 로생성되고감염되었던파일은정상파일로복구된다. 하지만 Logo_1.exe 에의해서재감염될가능성이높아실행시바이러스코드와분리되어정상파일로복구된다하더라도의미가없다. :try1 Del "E: Analysis SysInternals procexp.exe" if exist "E: Analysis SysInternals procexp.exe" goto try1 ren "E: Analysis SysInternals procexp.exe.exe" "procexp.exe" if exist "E: Analysis SysInternals procexp.exe.exe" goto try2 "E: Analysis SysInternals procexp.exe" :try2 del "C: DOCUME~1 ahnmaru LOCALS~1 Temp $$ac.bat" [ 표 9. 감염된파일이실행될때의예 ]
6 .Upack:00407EC4 lea eax, [ebp+lastwritetime].upack:00407ec7 push eax ; lplastwritetime.upack:00407ec8 lea eax, [ebp+lastaccesstime].upack:00407ecb push eax ; lplastaccesstime.upack:00407ecc lea eax, [ebp+creationtime].upack:00407ecf push eax ; lpcreationtime.upack:00407ed0 push esi ; hfile.upack:00407ed1 call GetFileTime.Upack:00407ED6 lea eax, [ebp+var_2a0].upack:00407edc call sub_ <-- 윈도우폴더경로가져오기.Upack:00407EE1 mov edx, [ebp+var_2a0].upack:00407ee7 lea eax, [ebp+var_10].upack:00407eea mov ecx, offset _str_logo1 exe.text [ 표 10. 복사본생성하는루틴 ].Upack: mov edx, offset _str bat.text.upack: d call sub_4049c0.upack: mov eax, [ebp+var_18].upack: ; System:: linkproc LStrToPChar(void).Upack: A push eax ; lpfilename.upack: b call DeleteFileA.Upack: mov eax, [ebp+var_18].upack: mov edi, eax.upack: a cmp edi, 0FFFFFFFFh.Upack: D jz loc_4081b4.upack: push offset _str try1 Del.Text.Upack: lea edx, [ebp+var_2a8].upack: e xor eax, eax.upack: call sub_4026c4.upack: push [ebp+var_2a8].upack: b push offset _str.text.upack: push offset _str_if_exist.text.upack: lea edx, [ebp+var_2ac].upack: b xor eax, eax.upack: d call sub_4026c4.upack: push [ebp+var_2ac].upack: push offset _str 5.Text.Upack: D push offset _str goto_try1.text.upack: push offset _str_ren.text.upack: push [ebp+var_14] [ 표 11. 표 9의내용을수행하는 bat 파일을만들기위한코드 ] 5-3. 관리목적의공유폴더 (IPC$, Admin$, C$ 등 ) 또는공유폴더 파일감염, 취약점 < 네트워크 앞서설명한두확산경로보다네트워크를통한자기복제가더큰파급효과를가지고있다는것을의미한다. 바이킹바이러스는네트워크로확산할때감염된시스템이속해있는네트워크대역으로 ARP(Broadcast) 를발생시키기때문에기업과같은중앙형네트워크에큰피해를줄수가있다. 아래그림은바이킹바이러스에감염된시스템이자기복제를위해다른컴퓨터를찾기위해 ARP(Broadcast) 를발생시키는패킷을 Ethereal( 으로캡쳐한것이다.
7 [ 그림 4. ARP(Broadcast) 패킷 ] [ 그림 5. ICMP 패킷 ] [ 그림 6. ICMP 패킷에포함된문자열 ] 이후같은네트워크대역에서발견한컴퓨터로 ICMP 패킷을발송하는데 Hello, World(Offset 002a ~ 0034) 라는문자열이포함되어있는것이특징이다..Upack: push eax ; lpwsadata.upack: push 101h ; wversionrequested.upack: call WSAStartup.Upack: E push offset dword_4085a0 ; lplibfilename : icmp.dll.upack: call LoadLibraryA.Upack: mov [ebp+hmodule], eax.upack: b push offset dword_4085ac ; lpprocname : IcmpCreateFile.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress.Upack: mov ebx, eax.upack: b push offset dword_4085bc ; lpprocname : IcmpCloseHandle.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress.Upack: mov [ebp+var_10], eax.upack: c push offset dword_4085cc ; lpprocname : IcmpSendEcho.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress ----중간생략----.Upack:004083ED mov ebx, offset dword_4085dc : Hello, World [ 표 12. ICMP 패킷을발생시키는코드 ]
8 바이킹바이러스는네트워크를통해자기복제를할경우, 두가지경우를통해할수있다. 공유폴더 IPC$, Admin$ 공유폴더 바이킹바이러스는 sub_403bf8 루틴을호출하여공유폴더의목록을쿼리 (Query) 하고해당폴더에존재하는모든.exe 파일을 감염시킨다..Upack:00407C84 call sub_403bf 중간생략 ----.Upack:00407C92 loc_407c92: ; CODE XREF: sub_407c24+e4j.upack:00407c92 xor eax, eax.upack:00407c94 mov [edi+4], eax.upack:00407c97 xor eax, eax.upack:00407c99 mov [edi+10h], eax.upack:00407c9c mov eax, [ebp+var_c].upack:00407c9f mov eax, [eax+ebx*4].upack:00407ca2 ; System:: linkproc LStrToPChar(void).Upack:00407CA7 mov [edi+14h], eax.upack:00407caa xor eax, eax.upack:00407cac mov [edi+1ch], eax.upack:00407caf push 0 ; dwflags.upack:00407cb1 push 0 ; lpusername.upack:00407cb3 push offset Password ; lppassword.upack:00407cb8 push edi ; lpnetresource.upack:00407cb9 call WNetAddConnection2A.Upack:00407CBE test eax, eax.upack:00407cc0 jz short loc_407cd2.upack:00407cc2 push 0 ; dwflags.upack:00407cc4 push 0 ; lpusername.upack:00407cc6 push 0 ; lppassword.upack:00407cc8 push edi ; lpnetresource.upack:00407cc9 call WNetAddConnection2A.Upack:00407CCE test eax, eax.upack:00407cd0 jnz short loc_407d06 [ 표 13. 공유폴더를이용한자기복제루틴 ] 바이킹바이러스가공유폴더를통해자기를복제할수있는가능성은크게두가지이다. 공유자원에액세스할때사용하는계정과패스워드가저장된경우 Windows OS 계열의시스템 ( 특히 Windows 2000 이상 ) 의시스템에서는네트워크공유자원에액세스시인증을요구하는윈도우가출력된다. 이때사용자들은매번아래와같은창이출력되는번거로움을없애기위해서 " 암호저장 (R)" 에표시하는경우가많으나이는바이킹바이러스처럼네트워크를통해자기복제를하는악성코드에게좋은확산수단이되기도한다. 바이킹바이러스는네트워크공유자원 (Admin$, IPC$, 공유폴더 ) 에액세스할때감염된로컬에존재하는계정들그리고공유자원에액세스할때저장된계정정보들을순차적으로사용하여네트워크공유자원에대해접속을시도한다. 아래패킷을참고하면이해가될것이다.
9 [ 그림 7. 네트워크액세스정보를모두삭제한후상태 ] [ 그림 8. 네트워크액세스정보를캐싱한후상태 ] [ 그림 7] 과 [ 그림 8] 의공통점은바이킹바이러스에감염된상태의패킷을캡쳐한것이고 IP 1 번과 128 번간에공유자원에액세스하기위해서인증권한을얻기위해서협상하는과정이다. [ 그림 7] 에서는 Testvm1 의 administrator 계정과패스워드는 Null 값을사용하여 128 의공유자원에액세스하기위해서인증요청을했으나 128 은 Testvm1 의 administrator 에대한계정과패스워드정보가없기때문에로그인실패메시지로응답하였는데이는바이킹바이러스가네트워크를통해자신복제를실패했다는의미가된다. [ 그림 8] 도마찬가지로 Testvm1 의 administraotor 에대한계정과패스워드정보가없기때문에로그인실패메시지로 1 번에응답하였으나두번째 AVERT Anti-Virus_Expert78 로인증시도시에는성공하였음을알수가있는데이는 Anti-Virus_Expert78 에대한계정과패스워드정보가 128 번에저장되어있기때문이다. 공유자원에대한권한이모든권한 (Full Control) 일경우 Windwos 2000 이상의 OS 에서는공유폴더의권한보다로컬시스템의권한이우선한다. 이는로컬시스템의공유된자원에모든권한 (Full Control) 이설정되어있다하더라도해당폴더에대한로컬의권한이읽기권한이라면최종으로적용되는권한은읽기가된다. 따라서바이킹바이러스가공유폴더에존재하는 exe 파일을감염시키기위해서접속시사용하는계정의권한이최소한쓰기 (Write) 를가지고있었다는결론이된다. 공유폴더의권한 로컬의권한 모든권한 (Full Control) < 읽기 (Read) [ 그림 9. Temp 폴더의권한이읽기 (Read) 일경우 ]
10 [ 그림 9] 처럼공유자원에읽기권한만설정되어있을경우 _desktop.ini 가존재하는지에대한쿼리를한후연결을종료시킴을확인할수가있다. [ 그림 10. 쓰기 (Write) 이상의권한이부여된경우 ] 1 공유폴더에 _desktop.ini 파일및해당폴더내에존재하는 *.exe 파일을감염시키기위해서쿼리발송 2 6 번째 : 공유폴더의하위폴더목록 3 나머지 : 1 과동일한과정 관리목적의공유폴더 (IPC$, Admin$) 를통해바이킹바이러스는 IPC$ 와 Admin$ 를통해서자기복제를할수있다. 이는관리목적의공유폴더에접근시사용되는계정정보가목적지시스템의관리자 ( 또는그에준한권한을가진계정 ) 에유사한권한을갖고있음을의미한다..Upack: B push offset _str 2.Text.Upack: push [ebp+var_4].upack: push offset _str ipc$.text.upack: lea eax, [ebp+var_14] ----중간생략----.Upack: mov [ebp+netresource.dwtype], eax.upack: a xor eax, eax.upack: c mov [ebp+netresource.lplocalname], eax.upack: f mov eax, [ebp+var_14].upack: mov esi, eax.upack: mov [ebp+netresource.lpremotename], esi.upack: c xor eax, eax.upack: e mov [ebp+netresource.lpprovider], eax.upack:004089a1 mov edx, offset dword_408d48 <--- administrator.upack:004089a6 mov eax, (offset Context.ExtendedRegisters+68h).Upack:004089AB call sub_ upack:004089b0 mov byte_412c14, 0.Upack:004089B7 push 0 ; dwflags.upack:004089b9 push (offset Context.ExtendedRegisters+68h) ; lpusername.upack:004089be push offset byte_412c14 ; lppassword.upack:004089c3 lea eax, [ebp+netresource].upack:004089c6 push eax ; lpnetresource.upack:004089c7 call WNetAddConnection2A.Upack:004089DE lea eax, [ebp+netresource].upack:004089e1 push eax ; lpnetresource.upack:004089e2 call WNetAddConnection2A Upack:00408A80 loc_408a80: ; CODE XREF: sub_ j.upack:00408a80 push offset _str 2.Text.Upack:00408A85 push [ebp+var_4]
11 .Upack:00408A88 push offset _str admin$.text --- 중간생략----.Upack:00408A9C mov [ebp+netresource.dwtype], eax.upack:00408a9f xor eax, eax.upack:00408aa1 mov [ebp+netresource.lplocalname], eax.upack:00408aa4 mov eax, [ebp+var_18].upack:00408aac mov [ebp+netresource.lpremotename], eax.upack:00408aaf xor eax, eax.upack:00408ab1 mov [ebp+netresource.lpprovider], eax.upack:00408ab4 push 0 ; dwflags.upack:00408ab6 push edi ; lpusername.upack:00408ab7 push esi ; lppassword.upack:00408ab8 lea eax, [ebp+netresource].upack:00408abb push eax ; lpnetresource.upack:00408abc call WNetAddConnection2A [ 그림 11. 관리목적공유폴더를통해자기복제시트래픽 ] 6. 바이킹바이러스, 왜위험한가? 지금까지분석된내용을통해바이킹바이러스가왜위험한지를알수가있었다. 하지만바이킹바이러스는자기복제뿐만아니라감염시특정 URL 로부터특정온라인게임사용자의개인정보를유출할수있는 PSW 형의트로이목마를다수다운로드한후실행한다는것에추가적으로위험성이존재한다고할수있다. [ 그림 12. PSW 트로이목마다운로드 ]
CKKeyPro 적용가이드
3.20 사이버테러악성코드분석보고서 라온시큐어보안기술연구팀 작성일 : 2013. 03 페이지 : 1/15 Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다.
More informationDeok9_Exploit Technique
Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationReusing Dynamic Linker For Exploitation Author : Date : 2012 / 05 / 13 Contact : Facebook : fb.me/kwonpwn
Reusing Dynamic Linker For Exploitation Author : pwn3r @ B10S @WiseGuyz Date : 2012 / 05 / 13 Contact : austinkwon2@gmail.com Facebook : fb.me/kwonpwn3r Abstract 대부분의 Unix 에선공유라이브러리를메모리에로드하고프로그램과 link
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More information<4D F736F F D20B9D9C0CCB7B5B9D9C0CCB7AFBDBA5FBCF6C1A42E646F63>
Virut 바이러스공격 ASEC 분석 1 팀고흥환선임연구원 해마다접수되는악성코드의통계를보면대부분이인터넷웜또는트로이목마가대부분을차지하며, 파일에기생하는바이러스는그수가적어지는것이추세이다. 그도그럴것이최근의악성코드특징은개인의능력과시가아닌돈과연관되는악성코드작성이대부분이기때문이다. 그렇다면 Virut 바이러스가인터넷웜과트로이목마를제치고국내뿐만아니라해외에서도큰피해를입히고있는이유가무엇인지,
More informationhlogin2
0x02. Stack Corruption off-limit Kernel Stack libc Heap BSS Data Code off-limit Kernel Kernel : OS Stack libc Heap BSS Data Code Stack : libc : Heap : BSS, Data : bss Code : off-limit Kernel Kernel : OS
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationMicrosoft PowerPoint - a10.ppt [호환 모드]
Structure Chapter 10: Structures t and Macros Structure 관련된변수들의그룹으로이루어진자료구조 template, pattern field structure를구성하는변수 (cf) C언어의 struct 프로그램의 structure 접근 entire structure 또는 individual fields Structure는
More informationNo Slide Title
Copyright, 2017 Multimedia Lab., UOS 시스템프로그래밍 (Assembly Code and Calling Convention) Seong Jong Choi chois@uos.ac.kr Multimedia Lab. Dept. of Electrical and Computer Eng. University of Seoul Seoul, Korea
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More informationIDA 5.x Manual 07.02.hwp
IDA 5.x Manual - Manual 01 - 영리를 목적으로 한 곳에서 배포금지 Last Update 2007. 02 이강석 / certlab@gmail.com 어셈블리어 개발자 그룹 :: 어셈러브 http://www.asmlove.co.kr - 1 - IDA Pro 는 Disassembler 프로그램입니다. 기계어로 되어있는 실행파일을 어셈블리언어
More information3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20
3.20 테러 악성코드바이너리분석 손충호 (StolenByte) stolenbyte@wowhacker.org WOWHACKER Group 2013-03-20 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20 전체적인공격프로세스 페이지 2 / 20 1. 바이너리가사용할 LoadLibrary 하여함수 Load
More informationMicrosoft Word - building the win32 shellcode 01.doc
Win32 Attack 1. Local Shellcode 작성방법 By 달고나 (Dalgona@wowhacker.org) Email: zinwon@gmail.com Abstract 이글은 MS Windows 환경에서 shellcode 를작성하는방법에대해서설명하고있다. Win32 는 *nix 환경과는사뭇다른 API 호출방식을사용하기때문에조금복잡하게둘러서 shellcode
More information/* */
/*---------------------------------------------------------------------------------*/ 번역 : innovation@wowhacker.org /*---------------------------------------------------------------------------------*/
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationNTD36HD Manual
Upnp 사용 D7 은 UPNP 를지원하여 D7 의네크워크에연결된 UPNP 기기에별다른설정없이연결하여, 유무선으로네트워크상의연결된 UPNP 기기의콘텐츠를재생할수있습니다. TV 화면의 브라우저, UPNP 를선택하면연결가능한 UPNP 기기가표시됩니다. 주의 - UPNP 기능사용시연결된 UPNP 기기의성능에따라서재생되지않는콘텐츠가있을수있습니다. NFS 사용 D7
More informationINTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co
Basic reverse engineering on x86 This is for those who want to learn about basic reverse engineering on x86 (Feel free to use this, email me if you need a keynote version.) v0.1 SeungJin Beist Lee beist@grayhash.com
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information컴퓨터관리2번째시간
Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,
More information1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro
#44u61l5f GameGuard 에대한간단한분석. By Dual5651 (http://dualpage.muz.ro) 요약 : 이문서는분석자의입장에서 GameGuard의동작을모니터링한것에대한것입니다. 실제 GameGuard의동작방식과는다소차이가있을수있습니다. 이문서에등장하는모든등록상표에대한저작권은해당저작권자에게있습니다. 1. Execution sequence
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More information공지사항
상명사이버캠퍼스 군이러닝 강좌 학습안내 1. 사이버캠퍼스 접속방법 브라우저 주소창에서 직접 http://cyber.smu.ac.kr 입력하여 접속합니다. : 추천 2. 개설강좌 및 수업 안내 가. 개설과목 : 컴퓨터와정보사회(군인) 나. 수업시작 : 2015. 9.1(화) 10:00 이후부터 다. 평가방법 1) 중간, 기말고사는 off-line
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >
10주차 문자 LCD 의인터페이스회로및구동함수 Next-Generation Networks Lab. 5. 16x2 CLCD 모듈 (HY-1602H-803) 그림 11-18 19 핀설명표 11-11 번호 분류 핀이름 레벨 (V) 기능 1 V SS or GND 0 GND 전원 2 V Power DD or V CC +5 CLCD 구동전원 3 V 0 - CLCD 명암조절
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More information<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478>
웹과 인터넷 활용 및실습 () (Part I) 문양세 강원대학교 IT대학 컴퓨터과학전공 강의 내용 전자우편(e-mail) 인스턴트 메신저(instant messenger) FTP (file transfer protocol) WWW (world wide web) 인터넷 검색 홈네트워크 (home network) Web 2.0 개인 미니홈페이지 블로그 (blog)
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드
취약점분석보고서 [Aviosoft Digital TV Player Professional 1.x Stack Buffer Overflow] 2012-08-08 RedAlert Team 강동우 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 1.2. 취약점요약... 1 1.3. 취약점정보... 1 1.4. 취약점대상시스템목록... 1 2. 분석...
More information(Asynchronous Mode) ( 1, 5~8, 1~2) & (Parity) 1 ; * S erial Port (BIOS INT 14H) - 1 -
(Asynchronous Mode) - - - ( 1, 5~8, 1~2) & (Parity) 1 ; * S erial Port (BIOS INT 14H) - 1 - UART (Univ ers al As y nchronous Receiver / T rans mitter) 8250A 8250A { COM1(3F8H). - Line Control Register
More informationC++ Programming
C++ Programming 연산자다중정의 Seo, Doo-okok clickseo@gmail.com http://www.clickseo.com 목 차 연산자다중정의 C++ 스타일의문자열 2 연산자다중정의 연산자다중정의 단항연산자다중정의 이항연산자다중정의 cin, cout 그리고 endl C++ 스타일의문자열 3 연산자다중정의 연산자다중정의 (Operator
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More information<%DOC NAME%> (User Manual)
AVG Email Server Edition 2012 2012.06 (2/ 28/ 2012) Copy right AV G Tec hnologies CZ, s.r.o. All rights res erv ed.. RSA Data Sec urity, Inc. MD5 Mes s age-diges t Algorithm, Copy right (C) 1991-2, RSA
More informationMicrosoft PowerPoint - hy2-12.pptx
2.4 명령어세트 (instruction set) 명령어세트 CPU 가지원하는기계어명령어들의집합 명령어연산의종류 데이터전송 : 레지스터 / 메모리간에데이터이동 산술연산 : 덧셈, 뺄셈, 곱셈및나눗셈 논리연산 : 비트들간의 AND, OR, NOT 및 XOR 연산 입출력 (I/O) : CPU( 레지스터 ) 와외부장치들간의데이터이동 프로그램제어 : 분기, 서브루틴호출
More information01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - PO
01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - POP; POP; POP; RET PLT & GOT Debug Proof of concept Example
More information02.Create a shellcode that executes "/bin/sh" Excuse the ads! We need some help to keep our site up. List Create a shellcode that executes "/bin/sh" C
02.Create a shellcode that executes "/bin/sh" Excuse the ads! We need some help to keep our site up. List Create a shellcode that executes "/bin/sh" C language Assembly code Change permissions(seteuid())
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More informationWin-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14
Win-Trojan/Scar.109568.U 악성코드분석보고서 Written by extr (white-hacker@nate.com, http://extr.kr) 2013. 02. 26 Win-Trojan/Scar.109568.U 악성코드분석보고서 Page 1 / 14 Table of Contents 1. 분석정보 i. 분석대상 ii. 분석환경 2. 동적분석
More informationky55別冊表紙1用.indd
Title 一 九 四 五 年 以 降 の 北 東 アジアと 教 会 : 日 本 国 憲 法 との 関 わ りから( 韓 国 語 ) Author(s) 松 本, 周 Citation 聖 学 院 大 学 総 合 研 究 所 紀 要, No.55 別 冊, 2013.3 : 55-70 URL http://serve.seigakuin-univ.ac.jp/reps/modules/xoonips/de
More information<%DOC NAME%> (User Manual)
AVG Email Server Edition 2013 2013.01 (20.11.2012) Copyright AVG Technologies CZ, s.r.o. All rights reserved.. RSA Data Security, Inc. MD5 Message-Digest Algorithm, Copyright (C) 1991-2, RSA Data Security,
More informationMicrosoft Word - Dropper.Agent D.doc
Dropper/Agent.97280.D Analysis 1. 개요잊을만하면한번씩사회공학기법 (Social Engineering) 을이용한악성코드가출현했다. 이번에는첨부파일인 Police.exe 를확인하고경찰서로출두하라는내용과함께불특정다수에게유포되었는데아마메일을받고도둑이제발저린다고순간뜨끔했던사용자들도있었을것이다. 이문서에서 Dropper/Agent.97280.D(
More information<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070>
#include "stdafx.h" #include "Huffman.h" 1 /* 비트의부분을뽑아내는함수 */ unsigned HF::bits(unsigned x, int k, int j) return (x >> k) & ~(~0
More informationchap 5: Trees
5. Threaded Binary Tree 기본개념 n 개의노드를갖는이진트리에는 2n 개의링크가존재 2n 개의링크중에 n + 1 개의링크값은 null Null 링크를다른노드에대한포인터로대체 Threads Thread 의이용 ptr left_child = NULL 일경우, ptr left_child 를 ptr 의 inorder predecessor 를가리키도록변경
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More information1. 개요 악성코드는여러분류로나누어볼수가있다. 이중일반사용자의입장에서 악성코드 라는단어보다친숙한 바이러스 가있다. 사실필자도보안을공부하기이전에는 악성코드 라는단어는아예들어보지못했고, 대신 바이러스 라는단어로모든악성코드를지칭했었다. 바이러스는악성코드분류의한종류로 스스로를
Malware Analysis Report Mad Angel 2016.09.17 By Kali-KM 1. 개요 악성코드는여러분류로나누어볼수가있다. 이중일반사용자의입장에서 악성코드 라는단어보다친숙한 바이러스 가있다. 사실필자도보안을공부하기이전에는 악성코드 라는단어는아예들어보지못했고, 대신 바이러스 라는단어로모든악성코드를지칭했었다. 바이러스는악성코드분류의한종류로
More information악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할
악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection
More informationPowerPoint 프레젠테이션
KeyPad Device Control - Device driver Jo, Heeseung HBE-SM5-S4210 에는 16 개의 Tack Switch 를사용하여 4 행 4 열의 Keypad 가장착 4x4 Keypad 2 KeyPad 를제어하기위하여 FPGA 내부에 KeyPad controller 가구현 KeyPad controller 16bit 로구성된
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation
1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information금오공대 컴퓨터공학전공 강의자료
C 프로그래밍프로젝트 Chap 14. 포인터와함수에대한이해 2013.10.09. 오병우 컴퓨터공학과 14-1 함수의인자로배열전달 기본적인인자의전달방식 값의복사에의한전달 val 10 a 10 11 Department of Computer Engineering 2 14-1 함수의인자로배열전달 배열의함수인자전달방식 배열이름 ( 배열주소, 포인터 ) 에의한전달 #include
More informationchapter4
Basic Netw rk 1. ก ก ก 2. 3. ก ก 4. ก 2 1. 2. 3. 4. ก 5. ก 6. ก ก 7. ก 3 ก ก ก ก (Mainframe) ก ก ก ก (Terminal) ก ก ก ก ก ก ก ก 4 ก (Dumb Terminal) ก ก ก ก Mainframe ก CPU ก ก ก ก 5 ก ก ก ก ก ก ก ก ก ก
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationMicrosoft PowerPoint - a6.ppt [호환 모드]
이장의내용 6 장조건부처리 부울과비교명령어 조건부점프 조건부루프명령어 조건부구조 컴퓨터정보통신 어셈블리언어 2 6.2 부울과비교명령어 부울명령어 Instructions ti 동작 AND dst, src OR dst, src XOR dst, src NOT dst dst dst AND src dst dst OR src dst dst XOR src dst NOT
More information서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을
설정매뉴얼 연결설정 연결을하기위해서는클라이언트와서버에 Windows Management Instrumentation, Remote Procedure Call(RPC) 서비스 가설치및실행되고있어야한다. Windows Management Instrumentation 서비스는 굳이실행시킬필요는없다. 요청이들어올경우자동실행되므로 연결및쿼리는 DCOM 을사용한다. DCOM은
More informationMicrosoft Word - UFuz3 분석.doc
파일퍼저 UFuz3 분석 이용일 (foryou2008@nate.com) 2008-07-26 0. 개요 UFuz3 는 eeye 에서공개한파일퍼저입니다. UFuz3 의기능분석및상세분석을통해, 퍼저는어떤모 습을갖추고있는지, 또한퍼저는내부적으로어떤방식으로동작하는지살펴보려고합니다. 1. 기능분석 UFuz3 는파일을파싱하는루틴내에 Integer Overflow 가존재하는지를검사합니다.
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information6강.hwp
----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>
리눅스 오류처리하기 2007. 11. 28 안효창 라이브러리함수의오류번호얻기 errno 변수기능오류번호를저장한다. 기본형 extern int errno; 헤더파일 라이브러리함수호출에실패했을때함수예 정수값을반환하는함수 -1 반환 open 함수 포인터를반환하는함수 NULL 반환 fopen 함수 2 유닉스 / 리눅스 라이브러리함수의오류번호얻기 19-1
More informationUser's Guide Manual
1. 롯데 통합구매 시스템 사용자 매뉴얼 (공급사용) 2006.01-1 - 문서 이력(Revision History) Date Version Description Author(s) 2006/01 V1.0 사용자 매뉴얼 - 공급사용 롯데CFD 주) 이 사용자 안내서의 내용과 롯데 통합구매 시스템은 저작권법과 컴퓨터 프로그램 보호법으로 보호 받고 있으며, 롯데CFD의
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationAPI 매뉴얼
PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned
More informationPowerPoint 프레젠테이션
Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationCPX-E-PB_BES_C_ _ k1
CPX-E CPX-E-PB PROFIBUS DP 8723 27-7 [87536] CPX-E-PB CPX-E-PB-KO PI PROFIBUS PROFINET (). :, 2 Festo CPX-E-PB-KO 27-7 CPX-E-PB... 4.... 4.2... 4.3... 4.4... 5.5... 5 2... 6 2.... 6 2..... 6 2..2... 6
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More informationCODESYS 런타임 설치과정
CODESYS 런타임설치과정 CODESYS Control RTE / SoftMotion RTE Setup Web: www.altsoft.kr E-mail: altsoft@altsoft.kr Tel: 02-547-2344 목 차 CODESYS 런타임 - Control RTE, SoftMotion RTE... 2 다운로드및설치과정... 2 CODESYS EtherCAT
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C4C656D70656C2D5A69762E637070>
/* */ /* LZWIN.C : Lempel-Ziv compression using Sliding Window */ /* */ #include "stdafx.h" #include "Lempel-Ziv.h" 1 /* 큐를초기화 */ void LZ::init_queue(void) front = rear = 0; /* 큐가꽉찼으면 1 을되돌림 */ int LZ::queue_full(void)
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More informationRaspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터
운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로
More informationSRC PLUS 제어기 MANUAL
,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationODS-FM1
OPTICAL DISC ARCHIVE FILE MANAGER ODS-FM1 INSTALLATION GUIDE [Korean] 1st Edition (Revised 4) 상표 Microsoft, Windows 및 Internet Explorer는 미국 및 / 또는 다른 국가에서 Microsoft Corporation 의 등록 상표입 Intel 및 Intel Core
More informationMicrosoft Word ARM_ver2_0a.docx
[Smart]0703-ARM 프로그램설치 _ver1_0a 목차 1 윈도우기반으로리눅스컴파일하기 (Cygwin, GNU ARM 설치 )... 2 1.1 ARM datasheet 받기... 2 1.2 Cygwin GCC-4.0 4.1 4.2 toolchain 파일받기... 2 1.3 Cygwin 다운로드... 3 1.4 Cygwin Setup... 5 2 Cygwin
More information0x <main+41>: lea eax,[ebp-264] 0x f <main+47>: push eax 0x080484a0 <main+48>: call 0x804835c <strcpy> 0x080484a5 <main+53>: add esp,0x1
FTZ LEVEL11 #include #include int main( int argc, char *argv[] ) { char str[256]; setreuid( 3092, 3092 ); strcpy( str, argv[1] ); printf( str ); gdb 를이용해분석해보면 [level11@ftz level11]$
More informationMicrosoft PowerPoint - a8a.ppt [호환 모드]
이장의내용 8 장고급프로시저 스택프레임 재귀 (Recursion) Invoke, Addr, Proc, Proto 디렉티브 다중모듈프로그램작성 2 8.2 스택프레임 Stack Frame ( 또는 activation record) procedure 의다음사항을저장한 영역 urn address passed parameter ( 스택매개변수 ) saved register
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationChapter 05. 파일접근권한관리하기
Chapter 05. 파일접근권한관리하기 00. 개요 01. 파일의속성 02. 파일의접근권한 03. 기호를이용한파일접근권한변경 04. 숫자를이용한파일접근권한변경 05. 기본접근권한설정 06. 특수접근권한 파일의속성을이해하고설명할수있다. 접근권한의종류와표기방법을이해하고설명할수있다. 접근권한을바꾸기위해기호모드에서원하는권한을기호로표기할수있다. 접근권한을바꾸기위해숫자모드에서원하는권한을숫자로표기할수있다.
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More informationDocsPin_Korean.pages
Unity Localize Script Service, Page 1 Unity Localize Script Service Introduction Application Game. Unity. Google Drive Unity.. Application Game. -? ( ) -? -?.. 준비사항 Google Drive. Google Drive.,.. - Google
More informationSMB_ICMP_UDP(huichang).PDF
SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request
More informationMicrosoft PowerPoint - a5a.ppt [호환 모드]
5 장프로시저 (1) 책의라이브러리사용 5 장전반부 : 책의링크라이브러리 외부링크라이브러리개요 라이브러리프로시저호출 라이브러리링크 라이브러리프로시저 예제 연세대학교컴퓨터정보통신어셈블리언어 2 저자제공링크라이브러리 라이브러리파일 어셈블된프로시저를포함하고있는 OBJ 파일들을모아놓은파일 ( 확장자.LIB) 각 OBJ file 에는하나이상의 procedure 가들어있음
More information백서2011표지
2011 2011 2011 2 3 2011 4 5 2011 6 7 2011 8 9 2011 10 11 2011 12 13 2011 14 15 2011 16 17 2011 18 19 2011 20 21 2011 22 23 2011 24 25 2011 26 27 2011 28 29 2011 30 31 2011 32 33 2011 34 35 36 2011 1 SOFTWARE
More informationMicrosoft Word - FunctionCall
Function all Mechanism /* Simple Program */ #define get_int() IN KEYOARD #define put_int(val) LD A val \ OUT MONITOR int add_two(int a, int b) { int tmp; tmp = a+b; return tmp; } local auto variable stack
More information기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.
PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.
More informationLCD Display
LCD Display SyncMaster 460DRn, 460DR VCR DVD DTV HDMI DVI to HDMI LAN USB (MDC: Multiple Display Control) PC. PC RS-232C. PC (Serial port) (Serial port) RS-232C.. > > Multiple Display
More information