분석 TIP/동적분석8 EB FE 바이트 패치 활용 악성코드 디버깅 시 EB FE 바이트 패치는 매우 유용한 기법으로, 다양한 분석 상황에서 활용할 수 있다. EB FE는 x86 x64 어셈블리에서 무한 루프를 생성하는 2바이트 명령어로, 이를 통해 악성코드의 실행을 일시적으로 정지시키고 분석자가 디버거를 연결하거나 특정 시점에서 코드를 분석할 수 있도록 도와준다. 무한 루프를 이용한 디버거 연결 지점 확보 악성코드가 CreateProcess를 통해 자식 프로세스를 생성하고, ResumeThread를 호출하기 전에 자식 프로세스의 진입점(Entry Point)에 EB FE를 패치하면, 자식 프로세스는 무한 루프에 빠지게 된다. 이 상태에서 디버거를 자식 프로세스에 연결하면, 원래의 실행 흐름을 방해하지 않고 분석을 진행할 수 있다. 분석이 끝난 후에는 원.. 2025. 6. 5. ASP.NET 서버에서 돌아가는 DLL 파일 ASP.NET 서버에서 스크립트를 실행하기 위해 서버가 내부적으로 DLL로 변환 후 동작 한다. 이 방식은 .NET의 관리 환경(CLR)을 활용하여 성능과 안정성을 높이는 기본 동작 방식이다. 닷넷으로 제작된 DLL을 열어봤는데 단순하다? ASP.NET에 올렸던 DLL파일 가능성이 있다. ASP.NET 확인 후 실제 악성 데이터를 찾아 본다. 2025. 4. 27. dnSpy의 Analyzer 기능 dnSpy의 Analyzer 기능에서 제공하는 Assigned by, Used by, Uses, Read by와 같은 항목들은 코드의 흐름과 상호작용을 분석하는 데 유용한 정보를 제공한다. Assigned by 특정 변수나 필드가 어디에서 값을 할당받는지 보여준다.string key = "secret"; // "Assigned by"에서 이 코드 위치를 표시 Used by 해당 변수, 메서드, 클래스 등이 어디에서 사용되고 있는지를 보여준다.Console.WriteLine(key); // "Used by"에서 key가 이 위치에서 사용됨을 표시 Uses 특정 메서드, 클래스, 혹은 변수 등이 어떤 다른 객체나 메서드를 참조하거나 호출하는지를 보여준다.public void Encrypt() {AES.Cre.. 2025. 4. 25. 쉘코드 디버거로 분석하기 분석 전 쉘코드가 어떤 아키텍쳐로 제작되었는지 중요하다. 32비트로 만들어진 쉘코드를 x64dbg로 연결했을 경우 오류가 발생하였으며, x32dbg로 올렸을 경우 정상적으로 코드가 동작된다. 쉘코드를 자주 본다면 이런 앞부분 형태에 익숙하게 된다. 이는 어셈블리어 코드로 본다면 함수의 시작 느낌이 강하다.55 push ebp8b ec mov ebp, esp83 ec 10 sub esp, 0x108d 45 f0 lea eax, [ebp-0x10]b9 4b 17 cd 5b mov ecx, 0x5bcd174b6a 00 push 0x0 1. x32dbg(또는 x64d.. 2025. 4. 14. IDA와 Debugger 주소 매칭 실행 파일을 메모리에 올리면, 그 주소값은 실행 시점에 따라 동적으로 변경된다. 운영 체제에서 메모리를 할당할 때, 주소를 랜덤하게 할당하는 방식(RAM을 동적으로 할당)을 사용하기 때문에, 같은 실행 파일이라도 실행할 때마다 메모리 주소가 달라질 수 있다. 이를 주소 공간 레이아웃 난수화(ASLR, Address Space Layout Randomization)라고 부른다. 따라서, 디스어셈블리 도구나 디버거 도구를 사용할 때, 분석 중인 실행 파일의 메모리 주소가 실행할 때마다 달라지는 것을 고려해야 한다. 1. IDA에서 변경 IDA에서는 Edit -> Segments -> Rebase Program에서 수정하면 된다. 2. x32/64dbg 디버거에서 변경 x32/64dbg의 경우 설정 -> 환경.. 2025. 4. 11. IDA를 통해 리눅스 원격 elf 파일 디버깅 IDA를 통해 리눅스 원격 elf 파일 디버깅 먼저 원격 디버깅을 위해 리눅스 이미지를 가상머신에 올려둔다. Kali Linux라는 PenTest(모의해킹) 용 가상머신 이미지를 통해 리눅스 이미지를 VMware에 올릴 수 있다. https://www.kali.org/get-kali/#kali-virtual-machines Get Kali | Kali LinuxHome of Kali Linux, an Advanced Penetration Testing Linux distribution used for Penetration Testing, Ethical Hacking and network security assessments.www.kali.orgVMware 표준을 받으면 된다. VMware Weekly는.. 2025. 3. 31. 이전 1 2 다음
