'작업공간/Malware'에 해당되는 글 11건

  1. 2013.02.12 Malware Crawler
  2. 2011.12.29 Memory String
  3. 2011.05.16 ZEUS 2.0.8.9 Source Code
  4. 2011.02.01 Twebot v3.0
  5. 2011.01.25 Project Blackout v2.5
  6. 2011.01.24 Swarm Bot
  7. 2011.01.24 [ButterflyBot]BFbot bot v1.3 extended with crack
  8. 2011.01.24 Zeus Builder 1.3.2.1
  9. 2011.01.24 Spyeye 1.2.60 Builder
  10. 2010.07.01 우리회사로 바이러스를 뿌린 긔엽긔놈 =_=; (4)
2013.02.12 10:34
 
 

악성코드 URL 알려주는 사이트에서 URL 을 파싱해서 다운로드 받음.


출처 : https://raw.github.com/ricardo-dias/mwcrawler/master/mwcrawler.py



mwcrawler.py

저작자 표시 비영리 변경 금지
신고

'작업공간 > Malware' 카테고리의 다른 글

Malware Crawler  (0) 2013.02.12
Memory String  (0) 2011.12.29
우리회사로 바이러스를 뿌린 긔엽긔놈 =_=;  (4) 2010.07.01
Malware - ZEUS BotNet  (0) 2010.03.07
Posted by Sun2Day

댓글을 달아 주세요

2011.12.29 10:24
 
 
기본 정보를 수집할 때, 일반 String 보다는 아무래도 Memory String을 보는게 도움이 되는 경우가 많다.
일반적으로 프로세스가 떠 있을 경우, Sysinternals Tool을 이용하면 쉽게 덤프를 생성할 수 있다.

하지만!! 프로세스가 죽고 다른 프로세스에 Injectoin 될 경우, 찾는데 어려움을 겪을 수 있다.

곰곰히 생각해보면 프로세스가 죽기전에 Memory dump를 생성하고 String을 확인하면 될 것 같다.
프로세스를 제어하기 위해 디버거를 사용하면 비교적 쉽게 진행 할 수 있다.


OllyDBG를 다운 받은 이후, commandbar 플러그인을 설치하면 위 그림과 같이 입력할 수 있는 창이 생성된다.

이때 bp ExitProcess 라고 치고 엔터!!
 - bp = BreakPoint, 특정 부분에서 멈추고 싶을 때 사용한다.
 - ExitProcess = 프로세스가 종료 될 때, 사용되는 API

위 명령의 뜻은 "프로세스가 종료되기 전, 종료 루틴을 실행할 때 멈춰라!!" 라는 의미다.
저렇게 해놓고 실행(F9) 시키면 해당 프로세스가 종료되기 전에 멈추게 되며,
OllyDBG나 Sysinternals Tool을 이용하여 dump를 생성하면 된다.

초간단!!


저작자 표시 비영리 변경 금지
신고

'작업공간 > Malware' 카테고리의 다른 글

Malware Crawler  (0) 2013.02.12
Memory String  (0) 2011.12.29
우리회사로 바이러스를 뿌린 긔엽긔놈 =_=;  (4) 2010.07.01
Malware - ZEUS BotNet  (0) 2010.03.07
Posted by Sun2Day

댓글을 달아 주세요

2011.05.16 11:45

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.02.01 14:28

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.01.25 09:23

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.01.24 16:17

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.01.24 16:11

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.01.24 16:08

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2011.01.24 15:47

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2010.07.01 15:15
 
 
나우콤..은 인터넷사업부과 보안사업부가 나뉘어있는 구조로 되어있다..
(일단 참고..)


어느날.. 출근해서 메일을 살펴보는 중.. 아래와 같은 긔엽긔놈이 보낸듯한 메일이 날 자극했다.

받는 사람 주소 목록은 우리회사의 메일들로 가득차있었고.. 웃기게도 메일앞에 cert라고 써있는데도 우리팀 메일로 굳이 보내주셨다. 그 외에 아프리카 메일계정이랑.. 몇몇 회사 계정들로 가득차있었다. (nowcom 회사 계정으로만 받는 사람이 되어있었음)

긔엽긔놈.. 보안회사 테스트하냐..?!
=_=;

그래도 나름 생각을 잘했는지.. 캡쳐사진을 보낸다고 했는데..
진짜로 압축을 푸니까 그림 아이콘으로 되어있는 파일이 나왔다!!
하지만 실제로는 PE구조로 이루어진 실행파일!!

내부에 그림파일이랑 또 다른 드롭퍼를 가지고 있는 놈이였고..
그 드롭퍼도 또 드롭퍼고..
에이.. 귀찮게 자꾸 왜 이러는거야!! 라고 말해주고 싶어졌다 =_=;

우리!!
양심적으로~
보안회사 테스트 하려고 하고 이런거..

기리지마요~  =ㅁ=;;


저작자 표시 비영리 변경 금지
신고

'작업공간 > Malware' 카테고리의 다른 글

Malware Crawler  (0) 2013.02.12
Memory String  (0) 2011.12.29
우리회사로 바이러스를 뿌린 긔엽긔놈 =_=;  (4) 2010.07.01
Malware - ZEUS BotNet  (0) 2010.03.07
Posted by Sun2Day

댓글을 달아 주세요

  1. uzia 2010.07.02 00:39 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요? 지금 제가 원노트 사용해서 블로그에 그림 올리는 걸 알아보고 있는데요혹시 원노트 사용해서 블로그에 올리시는건가요??
    맞으시다면.. 어떻게 그림위에 밑줄.. 빨간펜으로 그리셨나요??

    • Sun2Day 2010.07.02 01:22 신고  댓글주소  수정/삭제

      원노트.. 자주 사용하다 요즘엔 잘 사용안해서 ^^;
      어떻게 했는지 기억이 안나네요
      제 기억상으로는 원노트에도 직선을 그릴 수 있는 메뉴가 있는 것으로 기억합니다만.. ^^;
      위에는.. 밑줄을 그은게 아니라.. 네모상자를.. 가운데 색채우기를 안하고 그냥 테두리만 한것입니다.. 그래서 저렇게 굵게 나온것이죠 ^^;;
      저건 그림판으로 한거예요 ㅎㅎ

  2. zxh 2010.08.11 11:49 신고  댓글주소  수정/삭제  댓글쓰기

    ㅋㅋ 귀여운 메일이네요


티스토리 툴바