원문 : [디지털 포렌식] Volatility 설치법, 사용법 | 윈도우 10 Volatility standalone (tistory.com) /* 프로그램 실행 환경 : 윈도우 10 */ 볼라틸리티 설치법은 꽤 많이 있다. 운영체제에 따라 다르고, 또 exe파일로 설치할 것인지, 직접 python의 설치 경로에 파일을 넣어주면서 설치할 것인지에 따라 다르다. 나는 처음에는 yara, pycrypto, Distorm3 등을 설치하면서 복잡하게 했는데 윈도우를 새로 깔면서 이번에는 standalone으로 이용했다. 또한 볼라틸리티는 파이썬을 기반으로 하기 때문에 파이썬을 설치해줘야 한다. 2.x버전만 가능하기 때문에 잘 알아보고 설치하자. 나는 파이썬 2.7을 설치했다. www.volatilityfound..
Intro 리버싱을 하는 데 있어 흔히 "Art of Reversing is an API Hooking"이라는 말과 같이 API 후킹은 리버싱의 꽃이라 일컬어진다. 어떤 윈도우 응용프로그램을 개발하기 위해서 우리는 다양한 종류의 언어나 도구를 사용할 수가 있다. 이런 언어나 도구를 사용하여 개발하는 방법은 다르더라도 결국, 개발된 프로그램의 내부로 들어가면 윈도우 운영체제가 제공하는 API를 호출한다. 이러한 API는 사용자 영역뿐만 아니라 커널 영역에서도 Native API의 형태로 존재하기 때문에 API 후킹을 이해하는 것은 윈도우의 많은 부분을 조작할 수 있음을 의미한다. 따라서 이번 문서에서는 API 후킹에 대한 이해를 도모하며, 기본적인 후킹의 방법에 대해 이해하므로 다른 후킹 방법 또한 낯설지..
원문 : https://777bareman777.github.io/2020/01/14/WindowsAPIHookingUsingIAT/ 후킹 API 선정 어떤 작업을 할건지에 따라서 후킹 대상 API를 선정을 해야 합니다. 하지만 이것은 만만치 않은 작업입니다. 내가 조작하고 싶은 부분이 어떤 API를 통해서 작동되는지, 어떤 알고리즘을 통해서 작동되는지 파악하기 어렵기 때문입니다. 해당 부분은 개발/리버싱 경험이 많아야지 쉽게 선택할 수 있습니다. IAT 후킹 동작 원리 IAT는 프로그램에서 호출되는 API들의 실제 주소가 저장이 되는 영역입니다. IAT 후킹이란 IAT에 저장된 API들의 실제 주소 값을 주소를 바꾸는 것입니다. 정상적인 프로그램 같은 경우에는 본래 호출하고자 했던 API를 호출하고, ..
원문 : https://woounnan.tistory.com/92 1.원리 -SSDT 내에 존재하는 Native 함수는 ntoskrnl.exe 모듈 내에 존재. -SSDT를 검사하여, ntoskrnl.exe 외의 영역에 존재하는 함수주소가 존재할 경우 후킹되었다고 판단. 2.필요 요소 -ntoskrnl.exe 영역 주소 구하기 1)GetListOfModules:: ZwQuerySystemInformation의 2번째 인자를SystemModuleInformation로 주면 커널영역에 로드된 모든 모듈정보를 얻어올 수 있음. 2)DriverEntry:: 얻어진 모듈정보 중 모듈이름을 비교하여, ntoskrnl.exe 모듈을 찾음. 3)FindSSDTHook:: SSDT를 ntoskrnl.exe 영역과 비교...
요약 1. IDA Pro, Hex Rays 2. CFF Explorer 3. API Monitor 4. WinHex 5. Hiew 6. Fiddler 7. Scylla 8. Relocation Section Editor 9. PEiD 10. BinNavi 1. IDA Pro, Hex Rays IDA Pro 는 가장 널리 사용되는 리버스 엔지니어링 소프트웨어 도구 중 하나입니다. 명령 언어( IDC )가 내장되어 있고 다양한 프로세서 및 운영 체제에 대해 여러 실행 가능한 형식을 지원하는 대화형 디스어셈블러입니다. IDA Pro에는 또한 디스어셈블러의 기능을 더욱 확장할 수 있는 수많은 플러그인이 있습니다. IDA Pro의 주요 장점은 표시된 데이터의 모든 요소를 대화식으로 변경할 수 있다는 것입니다...
IDA (Interactive DIsAssembler) : 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어 주로 정적분석 ! 다양한 실행 파일과 중앙 처리 장치, 운영 체제를 지원한다. PE, ELE 실행 파일에 대해서는 디버거로 사용할 수 있다. 코드 섹션들 사이의 상호 참조와 API 호출 시의 파라미터, 그리고 다른 정보를 통해 자동 코드 분석을 수행한다. 디스어셈블이 어렵지만, IDA 는 디스에셈블을 향상시키기 위해 대화형 기능을 가지고 있다. 유료 버전을 사서 쓰면 기계어를 어셈블리어로 바꿔줄뿐 아니라 c언어 비슷하게 바꿔주지만 x64dbg : 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어 주로 동적 분석 ! - c언어 문법 형태의 파저 - TitanEngine 을 통한 DLL..
원문 : https://jack2.postach.io/post/agseonghaengwi-gibeob-code-injection-process-hollowing 0) 개요 Hollow 란? 구멍 오목한 것 텅빈 오목한 간단 설명 [1] Process Hollowing 기법은 최근 악성코드에서 사용되는 흔한 기술로 정상적인 프로세스를 생성하고 해당 프로세스에 악성PE 데이터를 삽입하여 실행 PROCESS REPLACEMENT RUNPE 동작 방식 [2] CreateProcess / OpenProcess WriteProcessMemory ResumeThread 1) 프로세스 생성 - CreateProcess (feat.SUSPENDED) CreateProcess function [3] BOOL WINAPI ..
대응 기법 안티 리버싱 (Anti-Reversing) 코드를 읽기 어렵게 만들어서 리버서들이 분석하기 어렵게 하는 기술. - 안티 디버깅: 프로그램을 실행하면서 분석하는 디버깅을 방지 - 안티 디스어셈블링: 프로그램을 실행하지 않고 코드와 구조를 분석하는 디스어셈블링을 방지 - 안티 템퍼링: 메모리 조작 방지 - 안티 메모리 덤프: 메모리 덤프를 통해 크리덴셜 탈취 방지 - 안티 메모리 패치: 실시간 메모리 패치로 프로그램 로직을 조작하는 것을 보호 - 안티 모니터, 안티 API 스캔: API 분석으로 프로그램의 기능 파악을 방지 - 암호화: 중요 데이터 보호 - 코드 가상화 및 코드 난독화: 코드 분석을 어렵게 함 코드 난독화 소스코드 암호화, 바이너리 암호화 (관련 키워드 : 안티 탬퍼 ) 패킹 프로..
- Total
- Today
- Yesterday
- 게임개발
- PUBG
- ESP
- Deferred Rendering
- FPS
- metaverse
- Fornite
- 3d Rendering
- game design
- VALORANT
- Game
- fall guys
- 포트나이트
- 월핵
- Shooter
- Early-Z
- MDA Framework
- Z Buffer Optimizations
- 게임뉴스
- 핵대응
- 폴가이즈
- 유능한 관리자의 10가지 행동들
- Wallhack
- ps5
- AimBot
- game development
- unrealengine
- csgo
- 발로란트
- apex legends
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |