Technology Notepad Technology Notepad

원문 보기 본 글은 TREND Micro 블로그에 기재된 글을 본인의 영어실력 향상과 Anti-Virus 업계의 동향을 습득할 목적으로 작성된 글임을 밝힘니다. 많은 의견 부탁드립니다. The Final Nail on Rustock’s Coffin—Or Is It? 러스턱 종말을 고할 마지막 결정타인가? The successful takedown could be considered the most recent and—possibly most effective—nail yet on Rustock’s coffin. While we would have to wait before we can see the long-term effects of the recent Rustock botnet takedown, th..

어떠한 이유로 윈도우 시스템이 망가졌을 경우 윈도우 시스템 파일 복구 툴로 어느 정도 정상화 시킬 수 있습니다. 윈도우 2000 이후 윈도우 시스템에는 기본적으로 윈도우 시스템 파일을 복구하는 기능이 포함되어 있었습니다. 그것은 System File Checker (이하 sfc) 라는 것입니다. sfc.exe 는 UI 가 없는 Command 명령 프로그램입니다. 또한 sfc.exe 를 실행하기 위해서는 관리자 권한이 필요합니다. 따라서 이전에 팁으로 설명 드린 cmd.exe 를 관리자 권한으로 실행한 후 나타나는 화면에서 아래와 같이 입력하면 됩니다. c:\> sfc.exe /scannow [그림 1] sfc 수행 결과 화면 사실 sfc.exe 와 관련된 옵션은 아래와 같이 몇 가지가 더 있지만 간단하게..

윈도우 시스템 파일이 패치(Patch)된 것 같다고 파일 하나가 접수되었습니다. 파일만 보았을 때는 이 것이 악성코드 인지 알 길이 없어 난감했습니다. 그러나 OllyDbg 로 해당파일을 열었을 때 EP(Entry Point) 에서 실행되는 코드를 보니 아무 의미 없는 코드들도 보였고 악성코드들이 kernel32.dll 의 ImageBase 위치를 찾는 코드들도 눈에 들어 왔습니다. 이제 감각적으로 변경되었다는 것은 알았는데, 어떤 부분이 얼만큼 변경되었는지? 왜 변경했는지? 치료할 방법은 있는지? 등등을 알아가려면 원본 파일이 절실히 필요했습니다. 다행이 정상파일들이 모여있는 곳이 있어 그 곳에서 그리 어렵지 않게 찾을 수 있었습니다. 이렇게 수집한 원본파일과 수정된 파일을 바이너리 수준으로 비교해 보..

VBScript 는 텍스트 편집기에서 위와 같이 보인다. 기본적으로 확장자는 *.vbs 로 되어 있으면 윈도우 시스템에서 *.vbs 파일을 더블클릭 했을 때 cscript 에 의해서 실행되어진다. 도스명령어 창에서 cscript.exe 를 입력하면 cscript 사용법이 출력될 것이다. [그림1] 코드 난독화된 악성 VBScript VBScript 는 텍스트 편집기에서 눈으로 쉽게 확인할 수 있다는 단점때문에 JavaScript 와 마찬가지로 코드 낙독화(Obfuscate)를 사용하고 있다. 위 그림에서와 같은 경우 다음과 같은 절차로 코드 일반화(Normalization) 해보았다. Code Normalization 1. 주석제거 VBScript 에서 주석은 ' 를 사용한다. 주석은 실행되는 문장과 관..

오늘 본 샘플 중에 아래와 같은 코드가 있었다. 악성코드들이 사용하는 문자열을 strings.exe 와 bintext.exe 와 같은 툴에 노출되는 것을 꺼려하여 문자열에 꼬아놓는 경우가 있는데, 이번에는 문자열 중간에 알파벳이 아닌 문자열을 삽입해 놓고 사용하기 전에 아래와 같은 함수를 호출하여 제거하는 것이다. [그림] DecodeStr 함수를 사용하는 코드 DecodeStr() 함수를 리버싱 해보면 아래와 같고 그것을 C 언어로 표기해보고 IDAPython 스크립트를 사용하여 IDA 에서 꼬인 문자열을 보기 쉽게 출력하였다. B9D0 ; int __cdecl DecodeStr(char *pLib, char *pFunc) B9D0 LibFileName = byte ptr -80h B9D0 String..

ASLR 기술은 PE 파일이 메모리에 로딩될 때 ImageBase 값을 랜덤하게 바꾸는 것입니다. 또한 해당 프로세스의 Stack, Heap 의 시작 주소도 실행될 때마다 랜덤하게 변경됩니다. DLL 파일은 메모리에 최초로 로딩되면서 그 후부터는 다른 프로세스에 매핑되는 개념이기 때문에 같은 DLL 파일에 대해서 프로세스 별로 매핑주소는 동일합니다. 이러한 특성으로 인해 시스템 DLL(ntdll, kernel32.dll 등…) 들은 부팅 시마다 매핑주소는 틀려지겠지만 일단 부팅되면 모든 프로세스에서 같은 주소에 매핑됩니다. What is ASLR? In short, when you boot a Windows Vista computer, we load system code into different loc..

저는 윈도우7 에서 아웃룩(Outlook) 2007 을 사용하고 있습니다만, 아웃룩을 실행시킬 때 마다 아래 그림과 같이 사용자 비밀번호를 물어보는 어처구니 없는 경우가 매번 발생합니다. 위 그림에서처럼 “암호 저장” 하기를 선택하고 로그인 했다면 “Windows 자격 증명”에 저장이 되고 그 다음부터는 비밀번호가 변경되어 로그인에 실패하는 경우가 아닌 다음에야 자동 로그인 되어야 하는 것으로 알고 있는데 말이죠. 참고로 윈도우 자격 증명은 [제어판—>사용자 계정 및 가족 보호—>자격 증명 관리자]에서 확인하실 수 있습니다. 이러한 증상의 원인은 특정 레지스트리 키에 적절한 권한이 부여되지 않아 발생하는 것으로 아래 그림과 같은 레지스트리 경로 하위의 개체 사용권한을 상속함으로써 해결할 수 있습니다. 아..

아웃룩에서 받은 메일에 첨부된 파일이 시스템 보안상 위협을 줄 수 있는 파일일 경우 다운로드 하여 실행되는 것을 기본적으로 차단(1)하고 있습니다. 또한 GUI로 제공되는 해당 옵션의 On/Off 기능도 제공하고 있지 않아 정상적인 실행파일과 같은 파일을 첨부 받았을 때는 여간 불편한 것이 아닙니다. 이러한 기능은 Gmail 에서도 비슷한 개념이 사용되고 있는데, 이는 그 만큼 이메일을 통해 악성코드가 유포되고 있다는 반증이기도 할 것 입니다. 이러한 사실을 아는 사용자라면 실행파일과 같은 아웃룩이나 Gamil 에서 차단하는 파일을 첨부할 경우 압축을 한다거나 파일의 확장자를 변경하여 보내는 것도 한 방법이겠습니다. 아무튼 메일 받은 사람이 직접 파일을 다운로드 받고 싶은 경우에는 아래 그림과 같이 레지..