Category Archives: Security

아파치(Apache) 디렉토리 인증시 주의 사항

    -디렉토리 현재 위치 정보값을 사용자에게 제공시 악의적으로 사용할 우려가 있다- <Directory />Option Indexec 여기에서 Indexec가 위치값을 사용자에게 보여주는 것이므로 주석(#)처리     1.httpd.conf 파일수정(레드햇9.0 기본위치 : /etc/httpd/conf/httpd.conf) <httpd.conf 내용> AllowOverride none 를 AllowOverride AuthConfig 나 ALL로 수정 {AuthConfig는 현재디렉토리에만 권한이 들어가며 ALL의 경우 하위 전체를 인증하게 됨}     2.htaccess화일 작성(앞에 점은 파일을 숨기는

Read More

Unpack PECompact 2.x

안녕하세요 오늘은 언팩에 대해 정리를 해볼까합니다.     “ 여기는 제 개인적인 기술 학습 및 정리용으로 사용되므로, 자세한 설명이 생략될 수 있습니다.     추가 문의는 댓글을 달거나, 다른 사이트에서 확인하시기 바랍니다. “ 언팩의 주요 목적은, 프로그램의 코드를 숨기기 위해, 압축해놓은 파일 내용을 압축 전 상태로 되돌려, EP(Entry Point)를 찾는 작업입니다.     보통 언팩을 OEP(Origral

Read More

FPU 연산자 설명

FPU관련 자료를 검색하던중 좋은 자료를 발견하게되었습니다. 일부 설명이 다른 자료와 약간 다르면이 있지만, 참고용도로 활용하기에는 훌륭한것 같습니다. 원본 자료 경로 http://www.iamroot.org/xe/Kernel_3_EMT64/4015   FSQRTST(0)의 값을 제곱근 연산을 해서 결과 값을 ST(0)에 넣는다예) FSQRT FSTST(0)의 값을 m32fp 에 복사 한다.예) FST m32fp FSTPST(0)의 값을 m32fp 에 복사하고, 스택레지스터를 POP 한다.예) FSTP m32fp FSTCWFPU컨트롤 워드를 m2byte에 저장하고 floating

Read More

Anti Debugging Trick-1 int 0x2e

일반적으로 int 0x2e를 만나게 되면 유저 모드에서 커널 모드로의 제어 이행을 수행하는 코드로써, 소프트웨어 인터럽트를 발생시키고, 유저 스택을 커널 스택으로 변경시킵니다. 이는 NtQuerySystemInformation를 수행하는데, ring3 단계의 디버깅 중일경우 Hang이 걸리게 됩니다.     결과값을 eax에 리턴 시켜서 확인하는 법도 외부 자료로 공개 된것이 있는데, 본 Trick을 만나면 해당 int 2e를 실행하지 않도록 하면 우회가 가능합니다.  

Read More

Anti Debugging Trick-2 CreateToolhelp32Snapshot

안티디버깅 기술중에 현재 실행중인 프로세스 리스트를 얻은후 찾고있는 프로세스가 존재하면, 종료하는 트릭입니다.     아래 그림과 같이 “CreateToolhelp32Snapshot”를 통해 값을 얻고 “Process32First”와 “Process32Next”로 찾고자 하는 프로세스가 있는지를 빨간박스 안의 Loop 문을 통해 수행하게 됩니다. 그림에서는 OLLYDBG.EXE를 찾고 있고 TEST EAX,EAX를 통해 값이 맞으면 401227로 점프하게 되어 있네요     안티 디버깅 트릭들은 이것이 쉽게 발각되지

Read More

Anti Debugging Trick-3 PE Header

이것도 Trick 비슷한것은데요 PE Header를 조작하여, 정상적으로 디버깅을 하지 못하도록 하는 기능이라고 보시면 됩니다.     윈도우용 실행파일들은 PE Header를 가지고 있어서, 실행에 필요한 환경정보를 거기에 설정하도록 정의되어 있습니다.     여기서 PE Header에 대해 애기하는것보다는 따로 정리된 자료를 보시는게 좋을것 같네요. 여기서는 이 Header을 일부 조작하여, Debugger로 실행하였을때, 프로그램이 오류를 내도록 하는 트릭입니다.  

Read More

모 보안 모듈의 우회 취약점..

게임에서 보안 사고가 나타나 조사를 진행하였다. 도대체 어떻게 보안 모듈없이 서버에 연결될 수 있을까?대부분의 게임 보안 모듈은 일정시간 마다 클라이언트와 통신을 하며 체크를 하는데, 이를 통해 보안 모듈이 꺼지게 되면, 프로세스가 종료된다. 하지만 믿었던 이 예상은 빗나갔다.이번 발생한 사고는 조금은 방심에서 나온듯한 사고…개발사에서 디버깅 모드를 위해 만들어 놓은 코드로 인해 보안 모듈이 로드되지 않고도 게임 실행이

Read More

프로세스 디버깅 하기

여기서는 이벤트 뷰어라는 프로그램을 통해 프로세스 디버깅 할수 있는 방법을 알아보도록 하겠습니다. 실시간 디버깅도 가능하지만, 여기서는 프로세스 덤프 파일을 통해 진행하는 방법을 알아보겠습니다. 이벤트 뷰어 프로세스 디버깅 하기         먼저 MMC 프로세스 덤프를 해보죠         덤프한 파일을 탐색기에서 바로 실행 하기 위해서 windgb -IA를 실행합니다. windgb -IA    

Read More

일반적 상용프로그램들의 보안 마인드

어제 회사에서 서버 장애로 필요한 도구를 구입하고 있더라.. 혹시나 해서 해당 도구를 역분석으로 분석해 보았다(프로그램보호를 위해 세부정보는 표시 않함). 일단 암호화는 안된 것 같고, 혹시나 꼬아 놓았나 디버거로 확인해 봤지만 역시나 보안적 마인드가 없으신 분들이셔…… 인증 방식을 확인해 보니 네트워크는 전혀 이용하지 않는 단서 발견, 오호…… 키젠 방식을 의심, 30분간 씨름 한 결과 짠~ 하고

Read More

IP 역추적 – WHOIS 만들기

IP 역추적에 빠질 수 없는 것이 바로 Whois일 것이다. 해당 IP의 위치를 확인하여 현재 공격한 IP가 어디에서 발생한 것인지 위치를 확인할 수 있는 근거가 바로 Whois이다. 하지만 실제 공격한 사람, 장소까지는 확인하지 못한다. 해당 IP가 좀비 PC일 수 도 있지만, IP에 대한 자세한 정보 역시 개인 정보와 같이 보호를 받는 정보이기에 이에 대한 조사를 진행하기

Read More