전체 글345 AFL 이해를 위한 기본 개념 일반적인 fuzzer의 architecture test case generator : 입력값을 만들고 새로운 test case 생성 worker : 주어진 입력값을 통해 프로그램 실행시키고 test case generator가 제공하는 테스트 케이스 실행하고 예상치 못한 동작 인식하는 역할 logger : 프로그램이 돌면서 버그 분석에 필요한 정보를 기록한다. 발견된 모든 crash와 각각의 테스트 사례를 기록하거나 저장하는 역할 logging은 crash 스택 추적을 통해 crash 분석을 쉽게 할 수 있다. fuzzing의 type 퍼징을 위해 입력값을 어떻게 조절하는지에 따라(테스트 케이스를 어떻게 생성하는지에 따라) 다음과 같이 두 가지 방식이 존재한다. Mutation Based Fuzzing(.. 2022. 1. 7. [Memory] GrrCON 2015 #25 악성코드를 설치했다는 것은 대부분 인터넷을 통해 다운받기 때문에 iehistory 플러그인을 이용한다. python vol.py -f pos1.vmss --profile="Win7SP1x86_23418" iehistory 꽤 많은 결과가 나오는데.. 주목할 부분은 다운받는 것 같아보이는 http://54.84.237.92/allsafe_update.exe 2021. 12. 14. [Memory] GrrCON 2015 #24 블랙리스트로 정의된 악성코드라 하면 밴 당하는 악성코드라는 거니까 화이트리스트로 정의된 악성코드라는 것은.. 실행이 되는 악성코드라는 것 같은데... strings 앞서구한 dmp > 3208.txt 원래 알던 기본 정상적인 실행파일들 사이에 모르는 (수상한) 실행파일이 하나 있다. allsafe_protector.exe 2021. 12. 14. [Memory] GrrCON 2015 #23 게싱 python vol.py -f pos1.vmss --profile="Win7SP1x86_23418" malfind -p 3208 -D ./ 저장된 dmp 파일 virustotal에 올려보기 Dexter라는 공통된 문자열이 눈에 띈다. Dexter 2021. 12. 14. [Memory] GrrCON 2015 #22 https://whitesnake1004.tistory.com/698 Memory - GrrCON 2015 #22 새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프 whitesnake1004.tistory.com 이 풀이가 나에겐 와닿지 않는다. 순전히 제가 생각한 흐름이니까 틀린 점 있으면 알려주세요. "내가 생각하는" 풀이의 흐름은 이렇다. c&c 서버라고 했으니까 netscan결과를 봐야겠다. 여러 결과가 나오는데 iexplore.exe가 딱 하나 있고 눈에 띈다. 54.84.237.92가 답이라고 생각이 들지만, 더 정확히 판.. 2021. 12. 14. [Memory] GrrCON 2015 #21 윈도우니까 예약 작업을 .bat 파일로 만들었을 가능성이 크다. python vol.py -f target2-6186fe9f.vmss --profile="Win7SP1x86" filescan | grep ".bat" python vol.py -f target2-6186fe9f.vmss --profile="Win7SP1x86" dumpfiles -Q 0x000000003f427e50 -D ./ 열어보니까 w.tmp 파일을 만든 배치 프로그램이 맞다. 1.bat 2021. 12. 14. 이전 1 ··· 12 13 14 15 16 17 18 ··· 58 다음
