<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Similar documents
Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Chapter 1

WS12. Security

OnTuneV3_Manager_Install

슬라이드 1

슬라이드 1

(SW3704) Gingerbread Source Build & Working Guide

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

鍮뚮┰硫붾돱??李⑤낯

ISP and CodeVisionAVR C Compiler.hwp

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자


1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Remote UI Guide

IDA 5.x Manual hwp

Secure Programming Lecture1 : Introduction

PRO1_02E [읽기 전용]

*Revision History 날짜 내용 최초작성 Tel Fax [2] page

PowerPoint 프레젠테이션

을풀면된다. 2. JDK 설치 JDK 는 Sun Developer Network 의 Java( 혹은 에서 Download > JavaSE 에서 JDK 6 Update xx 를선택하면설치파일을

untitled

Sena Device Server Serial/IP TM Version

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

WinDbg 사용법

Analyst Briefing

작동 원리

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

Secure Programming Lecture1 : Introduction

1217 WebTrafMon II

*2008년1월호진짜

Install stm32cubemx and st-link utility

untitled

다음 사항을 꼭 확인하세요! 도움말 안내 - 본 도움말에는 iodd2511 조작방법 및 활용법이 적혀 있습니다. - 본 제품 사용 전에 안전을 위한 주의사항 을 반드시 숙지하십시오. - 문제가 발생하면 문제해결 을 참조하십시오. 중요한 Data 는 항상 백업 하십시오.

목차 소프트웨어 라이센스 계약 3 무선 연결 사용 시 참고 사항 4 보안 관련 참고 사항 6 Wireless Manager mobile edition 5.5 로 수행 가능한 작업 7 컴퓨터 확인 10 컴퓨터를 연결하기 위해 필요한 환경 10 소프트웨어 설치 / 제거 1

슬라이드 1

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

SMB_ICMP_UDP(huichang).PDF

Endpoint Protector - Active Directory Deployment Guide

Title Here

Microsoft PowerPoint - 03_DB Migration 방법론 및 툴 사용법-인쇄.ppt

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,,,,,,,,,,,,,.,..., U.S. GOVERNMENT END USERS. Oracle programs, including any operat

PowerPoint 프레젠테이션

Windows 8에서 BioStar 1 설치하기

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

Windows 네트워크 사용 설명서

ODS-FM1

DioPen 6.0 사용 설명서

Interstage5 SOAP서비스 설정 가이드

Microsoft Word - jEMB11_kor.docx

BEA_WebLogic.hwp

슬라이드 1

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용


PowerPoint 프레젠테이션

목차 1. 제품 소개 특징 개요 Function table 기능 소개 Copy Compare Copy & Compare Erase

THE TITLE

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

chapter4

Assign an IP Address and Access the Video Stream - Installation Guide

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

À̵¿·Îº¿ÀÇ ÀÎÅͳݱâ¹Ý ¿ø°ÝÁ¦¾î½Ã ½Ã°£Áö¿¬¿¡_.hwp

PHPoC Debugger Manual > UI 구성 UI 구성 UI 구성 page 2 of 40

목차 제 1 장 inexio Touch Driver소개 소개 및 주요 기능 제품사양... 4 제 2 장 설치 및 실행 설치 시 주의사항 설치 권고 사양 프로그램 설치 하드웨

KISA-GD

APOGEE Insight_KR_Base_3P11

ActFax 4.31 Local Privilege Escalation Exploit

1.LAN의 특징과 각종 방식

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

BEef 사용법.pages

Microsoft Word - Windows_Server_Hmail_설치법

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Microsoft Word - Automap3

vi 사용법

Microsoft Word - FS_ZigBee_Manual_V1.3.docx

Microsoft PowerPoint - chap01-C언어개요.pptx

C. KHU-EE xmega Board 에서는 Button 을 2 개만사용하기때문에 GPIO_PUSH_BUTTON_2 과 GPIO_PUSH_BUTTON_3 define 을 Comment 처리 한다. D. AT45DBX 도사용하지않기때문에 Comment 처리한다. E.

XCom v2.x User's Manual

Microsoft PowerPoint - Chapter_03-1_DevEnv.pptx

NTD36HD Manual

10X56_NWG_KOR.indd

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

[로플랫]표준상품소개서_(1.042)

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

manual pdfÃÖÁ¾

<4D F736F F D E20B4DCB8BB20C1A1B0CB20B9D720C1B6C4A120B8C5B4BABEF35F76312E335F2E646F63>

PCServerMgmt7

Dropbox Forensics

chapter1,2.doc

거창전문대학훈령182.hwp

인켈(국문)pdf.pdf

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

PowerPoint Template

Transcription:

IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 -

Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다. Certlab은바이러스와같은위험한파일을분석할때 VMWare 안에서 IDA로분석을합니다. 쓰고있는 Main Computer에서분석을하게되면디버깅을하다가잘못해서 Main Computer에감염이되는불안감과그런경험이있기때문이죠. 디어셈블만한다면감염걱정은없는데 Main Computer 의넓직한모니터에사양좋은컴퓨터에서 IDA 로 디버깅을하고싶다고소원을빌게됩니다.. 그랬더니꿈속에서아이다가나와 Remote Debugging 이라는방법이있다고말해줍니다. 아이다 : Remote Debugging을하면디어셈블과디버깅까지 Main Computer에서할수있고, 만약디버깅과정에서위험한파일이분석도중실행이된다고해도설정해놓은분석컴퓨터에서실행이되요. 또한, 원격에있는 Process를 attach시켜디버깅할수있구요. 그림으로보면이해하기쉬울것입니다. - 2 -

이제 Remote debugging 을위한설정을해봅시다. 설정은의외로간단합니다. 디버깅되어실행이될 ( 분석도구가있는분석전용컴퓨터 ) 가서버가됩니다. Debugger Server 설정을보도록하겠습니다. 우선 IDA 가설치된디렉토리를 Path 에넣어줍니다. win32_remote, linux_server 파일이있는것을볼수있고, 정리를해보았습니다. 여기서제일위에있는 win32_remote.exe 를이용해서버로만들것이고, 나머지는각각의플랫폼에 맞춰구성을하시면됩니다. - 3 -

File name IDA version Operating system Debugged programs win32_remote.exe 32-bit MS Windows 32-bit 32-bit PE files win32_remote64.exe 64-bit MS Windows 32-bit 32-bit PE files win64_remotex64.exe 64-bit MS Windows 64-bit 64 or 32-bit PE files linux_server 32-bit Linux ELF files linux_server64 64-bit Linux ELF files win32_remote argument를보겠습니다. port number는 23946으로 default 설정되어있습니다. password를 certlab으로설정한후에실행을합니다. Client로설정할 Main Computer에서접속을할것이기때문에 IP정보도확인합니다. 192.168.5.128 그러면 default로설정된 23946 port 로 listening 을하게되고, Debugger Server의설정은이것으로끝입니다. 이제디버깅을하게될컴퓨터인 Main Computer 의설정. 즉 Debugger Client의설정을보겠습니다. IDA를실행하고위험한파일. 즉악성코드를 IDA로불러들입니다. 그러면악성코드의디어셈블된화면을보실수있고, 여기까지는단순히파일을디어셈블만하기때문에감염될걱정은없습니다. 불러들일악성코드는다음과같고, Blink Professional 에서검색된결과입니다. - 4 -

Event ID: BLINK-MAL-205 Severity: High Description: Blink has found a malware application Virus found: W32/VBTroj.CUO Item found: H: Analysis ctfmon.exe Action: Repair Alert: Yes Name: W32/VBTroj.CUO Second Action: Quarantine Category: Trojan Debugger -> Process options 를누릅니다. 그러면 Debug application setup 창이열리게되고, 여기서 Hostname에분석컴퓨터의 IP를넣어주고, 설정한패스워드를입력한후에 OK를누릅니다. - 5 -

OK를누르게되면반응이없을것입니다. 지금한것은 Remote Debugging 설정을한것이고, 악성코드를이제디버깅을하게되면말그데로 remote debugging을하게되는것입니다. 디버깅을하기전에각각의컴퓨터에 (Main Computer, Analysis Computer) 악성코드가실행되었을때악성코드가실행되어지는컴퓨터가무엇인지알아보기위해 Process moniter로반응을보도록하겠습니다. Analysis Computer Main Computer - 6 -

- 7 -

이제디버깅을해보도록하겠습니다. 디버깅버튼을누르게되면다음과같은창이뜨게되는데현재 Main Computer의악성코드경로인 H:\Analysis\ctfmon.exe 파일이 remote로설정한컴퓨터의 H:\Analysis\ctfmon.exe 에없다는뜻이고, remote computer에복사를하겠냐고물어보는창입니다. Yes를누릅니다. Yes 를누르게되면 IDA Debugging mode 로전환이되고, Debugging 후에는분석컴퓨터의 c:\ctfmon.exe 악성코드가복사되고, 실행이된것을보실수있습니다. 물론 Main computer 에서는악성코드가실행되지않았고, 악성코드가실행된분석컴퓨터에는악성코드 가실행되어여러가지일들을수행하는것을볼수있습니다. - 8 -

다음은악성코드가휴지통밑에휴지통밑에 ctfmon.exe 라는악성코드를숨기는것과 c:\autorun.inf 파 일을생성하는것을볼수있습니다. 그외에여러가지 dll 파일들을생성하고, 시작 Registry 에추가하는악성코드입니다. 이렇게 remote debugging 을통해분석을하는방법을알았고, remote computer 의 process 를 attach 해서분석하는방법을알아봅시다. win32_remote.exe 로 Debugger Sever 로설정을하고, Debugger Client 에서다음과같이 Remote Windows debugger 를누릅니다. 그럼다음과같이 Debug application setup 창이뜨게되고, OK 를누릅니다. - 9 -

그럼다음과같이 Remote computer 의현재 Process list 를볼수있고, Attach 할 Process 를확인후분석을하시면됩니다. 이렇게 Remote Debugging 에대해알아보았습니다. 이것을응용해분석은여러분의몫입니다. :) 문서내용중에틀린부분이나잘못된내용은메일을보내주시면감사드리겠습니다. http://www.certlab.org mailto:certlab@gmail.com - 10 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원