반응형
기본 정보를 수집할 때, 일반 String 보다는 아무래도 Memory String을 보는게 도움이 되는 경우가 많다.
일반적으로 프로세스가 떠 있을 경우, Sysinternals Tool을 이용하면 쉽게 덤프를 생성할 수 있다.
하지만!! 프로세스가 죽고 다른 프로세스에 Injectoin 될 경우, 찾는데 어려움을 겪을 수 있다.
곰곰히 생각해보면 프로세스가 죽기전에 Memory dump를 생성하고 String을 확인하면 될 것 같다.
프로세스를 제어하기 위해 디버거를 사용하면 비교적 쉽게 진행 할 수 있다.
OllyDBG를 다운 받은 이후, commandbar 플러그인을 설치하면 위 그림과 같이 입력할 수 있는 창이 생성된다.
이때 bp ExitProcess 라고 치고 엔터!!
- bp = BreakPoint, 특정 부분에서 멈추고 싶을 때 사용한다.
- ExitProcess = 프로세스가 종료 될 때, 사용되는 API
위 명령의 뜻은 "프로세스가 종료되기 전, 종료 루틴을 실행할 때 멈춰라!!" 라는 의미다.
저렇게 해놓고 실행(F9) 시키면 해당 프로세스가 종료되기 전에 멈추게 되며,
OllyDBG나 Sysinternals Tool을 이용하여 dump를 생성하면 된다.
초간단!!
일반적으로 프로세스가 떠 있을 경우, Sysinternals Tool을 이용하면 쉽게 덤프를 생성할 수 있다.
하지만!! 프로세스가 죽고 다른 프로세스에 Injectoin 될 경우, 찾는데 어려움을 겪을 수 있다.
곰곰히 생각해보면 프로세스가 죽기전에 Memory dump를 생성하고 String을 확인하면 될 것 같다.
프로세스를 제어하기 위해 디버거를 사용하면 비교적 쉽게 진행 할 수 있다.
OllyDBG를 다운 받은 이후, commandbar 플러그인을 설치하면 위 그림과 같이 입력할 수 있는 창이 생성된다.
이때 bp ExitProcess 라고 치고 엔터!!
- bp = BreakPoint, 특정 부분에서 멈추고 싶을 때 사용한다.
- ExitProcess = 프로세스가 종료 될 때, 사용되는 API
위 명령의 뜻은 "프로세스가 종료되기 전, 종료 루틴을 실행할 때 멈춰라!!" 라는 의미다.
저렇게 해놓고 실행(F9) 시키면 해당 프로세스가 종료되기 전에 멈추게 되며,
OllyDBG나 Sysinternals Tool을 이용하여 dump를 생성하면 된다.
초간단!!
반응형
'작업공간 > Security' 카테고리의 다른 글
| 패킷에서 파일 추출하기 - 2 (2) | 2011.12.29 |
|---|---|
| Unpack (0) | 2011.12.29 |
| AET (0) | 2011.10.31 |
| TOP 100 Shells (0) | 2011.07.06 |
| 코어덤프 확인 및 생성방법 (2) | 2011.06.20 |