AET - 어드벤스드.. 뭐더라.. -_-ㅋ

암튼 뭐 그렇데요.. 지능적 회피인가 뭔가..

보안장비들 마다 특징이 있겠지만.. 참.. 재밌는 거리가 많더라고요

쉽게 생각하면 쉬울 수 있고.. 어렵게 생각하면 어려운 문제라는 걸 깨닫게 된 좋은 계기였다고 생각합니다.

저도 이것저것 좀 다양하게 생각하면서 창의적으로 생각하는게 중요한거 같습니다. ^^

SelSelectect your choice.

^^

출처 : http://malwarelab.tistory.com/147

웹은 딱히 내 취향은 아니지만.. 공부공부!!
웹쉘 100개..
시간날때 하나씩 구해서 해봐야지..
언젠간 도움이 되거찌~~~~ +_+;;
(근데 어서 구하지? -_-ㅋㅋ)

C99Shell v. 1.0 beta (5.02.2005)  PHP   
Cyber Shell  PHP   
GFS Web-Shell  PHP   
NFM 1.8  PHP   
r57shell  PHP   
Small Web Shell by ZaCo  PHP   
nsTView v2.1  PHP   
DxShell v1.0  PHP   
C99madShell v. 2.0 madnet edition  PHP   
CTT Shell  PHP   
GRP WebShell 2.0 release build 2018 (C)2006,Great  PHP   
Crystal shell  PHP   
Loaderz WEB Shell  PHP   
NIX REMOTE WEB SHELL  PHP   
Antichat Shell  PHP   
CasuS 1.5  PHP   
Sincap 1.0  PHP   
C99Shell v. 1.0 pre-release build(safe-mode)  PHP   
hiddens shell v1  PHP   
Web-shell (c)ShAnKaR  PHP   
Predator  PHP   
KA_uShell 0.1.6  PHP   
NGH  PHP   
C2007Shell v. 1.0 pre-release build #16 Modded by Adora & u9 h4c93r  PHP   
Antichat Shell. Modified by Go0o$E  PHP   
c0derz shell [csh] v. 0.1.1 release  PHP   
iMHaBiRLiGi Php FTP  PHP   
PHVayv  PHP   
phpRemoteView  PHP   
STNC WebShell v0.8  PHP   
MyShell  PHP   
ZyklonShell  PHP   
AK-74 Security Team Web Shell Beta Version PHP   
Gamma Web Shell  Perl-Cgi   
go-shell  Perl-Cgi   
PhpSpy Ver 2006 Perl-Cgi   
CmdAsp.asp.txt  ASP   
CyberSpy5.Asp.txt  ASP   
klasvayv.asp.txt  ASP   
indexer.asp.txt  ASP   
NTDaddy v1.9  ASP   
reader.asp.txt  ASP   
RemExp.asp.txt  ASP   
zehir4.asp.txt  ASP   
Elmaliseker.txt  ASP   
EFSO_2.txt  ASP   
accept_language  PHP   
Ajax_PHP Command Shell  PHP   
Antichat Shell v1.3  PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz  PHP   
aZRaiLPhp v1.0  PHP   
backupsql  PHP   
c99  PHP   
c99_locus7s  PHP   
c99_madnet  PHP   
c99_PSych0  PHP   
c99_w4cking  PHP   
Crystal  PHP   
ctt_sh  PHP   
cybershell  PHP   
dC3 Security Crew Shell PRiV  PHP   
Dive Shell 1.0 - Emperor Hacking Team  PHP   
DTool Pro  PHP   
Dx  PHP   
GFS web-shell ver 3.1.7 - PRiV8  PHP   
gfs_sh  PHP   
h4ntu shell [powered by tsoi]  PHP   
iMHaPFtp  PHP   
ironshell  PHP   
JspWebshell 1.2  PHP   
KAdot Universal Shell v0.1.6  PHP   
lamashell  PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit  PHP   
load_shell  PHP   
matamu  PHP   
Moroccan Spamers Ma-EditioN By GhOsT  PHP   
myshell  PHP   
Mysql interface v1.0  PHP   
MySQL Web Interface Version 0.8  PHP   
mysql  PHP   
mysql_tool  PHP   
NCC-Shell  PHP   
NetworkFileManagerPHP  PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version  PHP   
nshell  PHP   
nstview  PHP   
PH Vayv  PHP   
PHANTASMA  PHP   
PHP Shell  PHP   
php-backdoor  PHP   
php-include-w-shell  PHP   
pHpINJ  PHP   
PHPJackal  PHP   
PHPRemoteView  PHP   
Private-i3lue  PHP   
pws  PHP   
r57  PHP   
r57_iFX  PHP   
r57_kartal  PHP   
r57_Mohajer22  PHP   
rootshell  PHP   
ru24_post_sh  PHP   
s72 Shell v1.1 Coding  PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der  PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2  PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend  PHP   
simple_cmd  PHP   
simple-backdoor  PHP   
SimShell 1.0 - Simorgh Security MGZ  PHP   
SnIpEr_SA Shell  PHP   
Uploader  PHP   
WinX Shell  PHP   
Worse Linux Shell  PHP   
zacosmall PHP   
Antichat Shell v1.3 PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz PHP   
aZRaiLPhp v1.0 PHP   
CrystalShell v.1 PHP   
Cyber Shell (v 1.0) PHP   
dC3 Security Crew Shell PRiV PHP   
Dive Shell 1.0 - Emperor Hacking Team PHP   
DxShell.1.0 PHP   
ELMALISEKER Backd00r ASP   
GFS web-shell ver 3.1.7 - PRiV8 PHP   
h4ntu shell [powered by tsoi] PHP   
JspWebshell 1.2 JSP   
KAdot Universal Shell v0.1.6 PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit PHP   
Macker's Private PHPShell PHP   
Mysql interface v1.0 PHP   
MySQL Web Interface Version 0.8 PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version PHP   
Perl Web Shell by RST-GHC PL   
Private-i3lue PHP   
RedhatC99 [login=redhat-pass=root] PHP   
Rootshell.v.1.0 PHP   
s72 Shell v1.1 Coding PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2 PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend PHP   
SimShell 1.0 - Simorgh Security MGZs PHP   
WinX Shell PHP   
Worse Linux Shell PHP

레지스트리 등록하는 부분은 완성!!

서비스 등록하는 부분은 미완성!!

차라리 악성코드 IDA로 열어서 헥스레이로 본 코드를 넣는게 빠를려나;;;

악성코드를 열어서 코드 확인하는건.. 고민을 해봐야겠다;; ㅠㅠ

아무튼 2주차는 50% 성공 ㅠㅠ

평일날 마져 채워야되는데..

이번주는 좀 바쁨..ㅠㅠ

코어덤프를 이용하는 이유
코어덤프를 이용할 시, 버그상황을 재현하지 않고도 디버깅이 가능하다는 장점이 있음.

코어덤프 형식
%t = <코어덤프한 시각>
%e = <프로세스 명>
%p = <PID>
%c = <코어덤프 최대크기>


코어덤프 확인
root@bt:/# ulimit -c
0                                      //여기서 0은 코어덤프의 생성 크기를 이야기 함.

코어덤프 생성방법
root@bt:/# ulimit -c unlimited
root@bt:/# ulimit -c
unlimited                           //여기서 unlimited는 생성 크기를 제한하지 않는다는 것을 의미


코어파일을 이용한 디버깅 방법
gdb -c <corefilename> <실행파일 이름>

갇힌 공간에 답답하게 있다보니 오랜만에 공부를 좀 했습니다;;

API도 다 까먹었었는데.. 기본 구조라던가.. 메시지 전달하는 방법들에 대해서 간략하게 코딩하면서 기억을 되살려보고..

사실.. 네트워크 프로그래밍은 한번도 해본적이 없어서.. 이번에 악성코드를 하나 만들어보면서 공부를 하려고 준비중입니다. +_+

기본적인 구조는 Win32/Trojan.Downloader 형태이나, 조금 더 나가서 DDoS Agent 형태로 만들어 볼까 계획중인데... 괜츈하겠죵? 홍홍홍..

일단 이번주는 Server 프로그램과 Client 프로그램 기본적인 틀만 갖추어놨고.. 다음주에는 좀 더 제대로 구조를 갖출 예정입니다.


예정사항
1주차 : 기본구조 설계 및 이해 (이번주 완료)
2주차 : Client : 개인정보 추출 및 Server로 전달 / Registry를 통한 자동실행 기법 구현
3주차 : Server : 받은 정보 저장 (웹서버 구축? 귀찮으면 그냥 BackTrack 활용)
                       좀비PC 현황 (IP 및 활성화 여부 파악)
           Client : Registry를 통한 방화벽 해제
4주차 : Server : Client로 명령어 하달 (초반에는 간단하게 Download만)
          Client : 명령별 분기문 및 기능구현 (Download 받고 실행까지)
5주차 : 명령어 추가 (DDoS 명령, Syn Flooding, UDP Flooding)
6주차 : 5주차에 이어 계속...

7주차 : 전파 구현 (SMB를 통한 전파)
8주차 : 전파 구현 (Email 수집을 통한 전파)

9~10주차 : 7~8주차 연장선.

11주차 : 완료.



장작.. 3달간의 길고긴 프로젝트 =_=;;
마지막엔 안티디버깅 기법이랑.. 패킹기법 좀 공부해서 자체패킹시켜보고...
마지막으로.. VirusTotal과 백신업체에 보내보는거예욧!!!!!!

등록되면 땡큐.. 안되면 뭐.. 어짜피 학습용도로 만든거라 악성코드도 아닌데 뭐.. +_=  라고 생각하고 있습니다.. 풀헐헐헐ㄹㄹㄹㄹ

이게 완료가 되면.. Download 할.. 키로거 하나 만들어보던가.. 기존에 있는 악성코드들 소스를 좀 끌어다가 하나 만들어봐야겠습니다 +_+





메시지 처리구조
1. 감염된 좀비PC가 C&C로 자신의 개인정보를 보냄.            좀->C&C
2. C&C는 좀비PC에게 명령을 하달                                    C&C->좀
3. 좀비PC는 주기적으로 C&C에게 정보를 전달하며
    전달받은 명령을 수행                                                   좀->C&C
4. 어느정도 공격을 수행한 이후, 나도 하드파괴?? ㅋ              C&C->좀

교과서에도 수 없이 보고.. 보고.. 시험도 보고.. 듣고..
입사해서 듣고.. 계속 듣고.. 심심하면 듣고.. 그런것이지만..

개인적으로 이 글이 가장 와닿길래 퍼옵니다.

1. Physical Layer : 물리적인, 기계적인 정보 등에 관한 자료를 처리하는 계층

2. Datalink Layer : 상위 계층과 Physical Layer의 연계를 담당하는 계층

3. Network Layer : 도착지와 출발지의 주소 설정 및 경로 설정 등을 담당하는계층

4. Transport Layer : 데이터를 분할, 전송, 재조립 등을 담당하는 계층

5. Session Layer : 상대 Application Layer와 내 Application Layer의 연계나 전송 실패에 대한 처리를 담당하는 계층

6. Presentation Layer : 네트워크 자원을 할당, Application Layer에 전달, 자료를 컴퓨터가 이해 가능한 Format으로 바꾸는 기능 등을 담당하는 계층

7. Application Layer : 사용자가 Network 자원을 사용할 수 있도록 해주는 기능을 처리하는 계층
<펌 : http://blog.naver.com/ctpoyou/115601335>

1. 우선 컴파일 시에 디버깅 정보를 담아야 한다.
gcc -g -o [프로그램명] [소스파일명]
디버깅 옵션인 -g 으로 컴파일하며, 최적화 옵션인 -O 은 주지 않도록 한다.

2. 실행방법
gdb [프로그램명]
gdb [프로그램명] [core파일명]
gdb [프로그램명] [실행중인프로세스pid]

3. 종료방법
q
Ctrl + d

4. 소스 찾아가기 (list)
l : main 함수를 기점으로 소스의 내용이 출력된다
l 10 : 10 행 주변의 소스가 출력되는데 10 - 5 행부터 10 + 5행까지 총 10행이 출려된다.
l func : func 함수의 소스를 출력
l -5 : 기본값으로 10줄이 출력된다고 가정하고, 다음에 출력될 라인이 11라인이라면, 10(마지막라인) - 5 라인을 중심으로 출력된다. 즉, 그대로 1~10라인이 출력된다.
l a.c:func : a.c 파일의 func 함수부분을 출력
l a.c:10 : a.c 파일의 10행을 기준으로 출력

5. 옵션
set listsize 20 : 한번에 출력하는 행의 갯수를 20개로 늘린다.
Enter : 마지막으로 수행한 명령어를 다시 수행한다

6. 프로그램 실행, 종료 (run, kill)
r : 프로그램 수행 (재시작)
r arg1 arg2 : arg1과 arg2를 인자로 프로그램 수행
k : 프로그램 수행종료

7. 역추적하기 (backtrace)
bt : 오류가 발생한 함수를 역으로 찾아간다.

8. 중단점 사용하기 (breakpoint, temporary breakpoint)
b func : func 함수에 브레이크 포인트 설정
b 10 : 10행에 브레이크 포인트 설정
b a.c:func : a.c파일의 func함수에 브레이크 포인트 설정
b a.c:10 : a.c파일의 10행에 브레이크 포인트 설정
b +2 : 현재 행에서 2개 행 이후 지점에 브레이크 포인트 설정
b -2 : 현재 행에서 2개 행 이전 지점에 브레이크 포인트 설정
b *0x8049000 : 0x8049000 주소에 브레이크 포인트 설정 (어셈블리로 디버깅 시 사용)
b 10 if var == 0 : 10행에 브레이크 포인트를 설정해되, var 변수 값이 0일 때 작동
tb : 임시 중단점을 사용하는 것으로 한번만 설정되며, 그 이후에는 삭제된다.

9. 중단점 설정하기 (condition)
condition 2 var == 0 : 고유번호가 2번인 브레이크포인트에 var변수가 0일 때 동작하라고 설정

10. 중단점 삭제하기 (clear, delete)
cl func : func 함수의 시작 부분에 브레이크 포인트 지움
cl 10 : 10행의 브레이크 포인트 지움
delete 1 : 고유번호 1번의 브레이크 포인트를 지운
cl a.c:func : a.c 파일의 func함수의 브레이크 포인트 지움
cl a.c:10 : a.c 파일의 10행의 브레이크 포인트 지움
cl : 모든 브레이크 포인트 지움

11. 중단점 정보보기 (information)
info b : 현재 설정된 브레이크 포인트의 정보를 보여준다
방향키Up/Down : 방향키 Up/Down을 누르면 히스토리 기능을 제공한다
info br + TAB : info br 로 시작하는 키워드가 히스토리에 있다면 뿌려준다
info TAB + TAB : info 뒤에 올 수 있는 인자 리스트를 보여준다
TAB + TAB : 현재 사용가능한 모든 명령어 리스트를 보여준다

12. 중단점 비활성화, 활성화 하기 (enable, disable)
disable 2 : 고유번호 2번인 브레이크 포인트 비활성화
enable 2 : 고유번호 2번인 브레이크 포인트 활성화

13. 디버깅 하기 (step, next, continue, until, finish, return, step instruction, next instruction)
s : 현재 출력된 행을 수행하고 멈추지만, 함수의 경우 함수의 내부로 들어가서 수행된다
s 5 : s를 5번 입력한 것과 동일
n : 현재 행을 수행하고 멈추지만, 함수의 경우 함수를 수행하고 넘어간다
n 5 : n을 5번 입력한 것과 동일
c : 다음 브레이크 포인트를 만날때 까지 계속 수행한다
u : for 문에서 빠져나와서 다음 브레이크 포인트까지 수행한다.
finish : 현재 함수를 수행하고 빠져나감
return : 현재 함수를 수행하지 않고 빠져나감
return 123 : 현재 함수를 수행하지 않고 빠져나감, 단, 리턴값은 123
si : 현재의 인스트럭션을 수행, 함수 호출 시 내부로 들어간다.
ni : 현재의 인스트럭션을 수행, 함수 호출 시 내부로 들어가지 않는다.

14. 감시점 설정 (watch)
watch i : i변수에 와치포인트를 설정하고 i변수가 바뀔 때마다 브레이크가 걸리면서 이전값과 현재값을 출력한다.

15. 변수 정보보기 (info, print)
info locals : 현재 상태에서 어떤 지역변수들이 있으며, 값은 어떠한지를 알 수 있다.
info variables : 현재 상태에서의 전역변수 리스트를 확인할 수 있다.
p lval : lval 값을 확인한다.
p func : func 함수의 주소값을 확인한다.
p pt : pt가 구조체라면 구조체의 주소를 확인한다
p *pt : pt가 구조체라면 구조체의 값을 확인한다.
p **pt : *pt가 구조체라면 구조체의 값을 확인한다.
info registers : 레지스트 값 전체를 한번에 확인한다.

16. 레지스트 값 및 포인터가 가리키는 구조체의 배열을 출력 (info, print)
info all-registers : MMX 레지스트를포함하여 거의 대부분의 레지스트 값을 확인한다.
p $eax : eax 레지스트의 값을 확인한다. ( ex_ eax, ebx, ecx, edx, eip )
p *pt@4 : 4크기의 배열로 gdb가 알 수 있으므로 4개의 크기만큼 가져와서 확인할 수 있다.

17. 중복된 변수명이 있는 경우 특정 변수를 지정해서 출력 (print)
p 'main.c'::var : main.c 파일에 있는 전역변수인 var 변수의 값을 출력
p hello::var : hello 함수에 포함된 static 변수인 var 변수의 값을 출력

18. 출력 형식의 지정
p/t var : var 변수를 2진수로 출력
p/o var : var 변수를 8진수로 출력
p/d var : var 변수를 부호가 있는 10진수로 출력 (int)
p/u var : var 변수를 부호가 없는 10진수로 출력 (unsigned int)
p/x var : var 변수를 16진수로 출력
p/c var : var 변수를 최초 1바이트 값을 문자형으로 출력
p/f var : var 변수를 부동 소수점 값 형식으로 출력
p/a addr : addr주소와 가장 가까운 심볼의 오프셋을 출력 ( ex_ main + 15 )

19. 타입이 틀릴 경우 타입을 변환하여 출력
p (char*)vstr : 실제 컴파일 시에 (void *)형으로 되어있었다고 하더라도 (char *)로 캐스팅 하여 보여줌

20. 특정한 위치 지정
p lstr + 4 : 예를 들어 lstr = "I like you." 라는 문자열은 "ke you."가 출력된다.

21. 변수 값 설정
p lval = 1000 : 변수값 확인 이외에는 설정도 가능하다.

22. 출력명령 요약 (print)
p [변수명] : 변수 값을 출력
p [함수명] : 함수의 주소를 출력
p/[출력형식] [변수명] : 변수 값을 출력 형식으로 출력
p '[파일명]'::[변수명] : 파일명에 있는 전역변수 값을 출력
p [함수명]::[변수명] : 함수에 있는 변수 값을 출력
p [변수명]@[배열크기] : 변수의 내용을 변수 배열의 크기 형태로 출력

23. 디스플레이 명령 (display, undisplay)
display [변수명] : 변수 값을 매번 화면에 디스플레이
display/[출력형식] [변수명] : 변수 값을 출력 형식으로 디스플레이
undisplay [디스플레이번호] : 디스플레이 설정을 없앤다
disable display [디스플레이번호] : 디스플레이를 일시 중단한다.
enable display [디스플레이번호] : 디스플레이를 다시 활성화한다.

24. 스택이란
스택의 경우는 상위 1기가는 커널에서 사용하며, 그 바로 아래 공간인 상위 0xBFFFFFFF 부터 하위로 늘어나게된다.
상세한 디버깅을 위해서는 -g 옵션으로 디버깅 정보와 --save-temps 옵션을 통해 어셈블리 코드를 얻어낼 수 있다.
상위 프레임으로 갈 수록 메인 함수에 가까워 지는 것이다.

25. 스택 프레임 관련 명령 (frame, up, down, info)
frame [N] : n번 스택 프레임으로 변경
up : 상위 프레임으로 이동
up [N] : n번 상위 스택 프레임으로 이동
down : 하위 프레임으로 이동
down [N] : n번 하위 스택 프레임으로 이동
info frame : 현재 스택 프레임 정보를 출력
info args : 현재 스택 프레임의 함수가 호출될 때 인자를 출력
info locals : 현재 스택 프레임의 함수내의 지역변수를 출력
info catch : 현재 스택 프레임의 함수내의 예외 핸들러를 출력

26. 스택 트레이스 하는법
b main 또는 원하는 곳에 브레이크 포인트를 잡고
오류가 발생할 때 까지 c를 통해 진행하면, 세그먼트 폴트 등의 오류가 발생하고 디버그가 멈추는데
여기서 bt 를 통해서 전체 스택 프레임을 확인하고 어떤 함수에서 호출시에 문제가 발생하였는지 확인
단, 일반적인 라이브러리에서는 오류발생 확률이 없다고 보고, 그 함수를 호출시에 문제를 의심한다.
다시 프레임을 이동하면서, 로컬변수와 전역변수 등을 확인하면서 디버깅이 가능하다.

27. 메모리 상태 검사 (x)
x/[범위][출력 형식][범위의 단위] : 메모리의 특정 범위의 값들을 확인할 수 있다.
이렇게 메모리를 직접 읽어보는 일은 -g 옵션을 가지고 컴파일 되지 않은 실행파일을 디버깅 할때에 자주 사용된다.
즉, x/10i main 과 같이 역 어셈블하여 해당 코드를 추측하는 것이다.

28. 출력형식
x/10 main : main 함수 시작부터 40바이트를 출력한다. 출력형식은 다음과 같다.
x/10t main : main 함수 시작부터 40바이트를 2진수로 출력
x/10o main : main 함수 시작부터 40바이트를 8진수로 출력
x/10d main : main 함수 시작부터 40바이트를 부호가 있는 10진수로 출력 (int)
x/10u main : main 함수 시작부터 40바이트를 부호가 없는 10진수로 출력 (unsigned int)
x/10x main : main 함수 시작부터 40바이트를 16진수로 출력
x/10c main : main 함수 시작부터 40바이트를 최초 1바이트 값을 문자형으로 출력
x/10f main : main 함수 시작부터 40바이트를 부동 소수점 값 형식으로 출력
x/10a main : 가장 가까운 심볼의 오프셋을 출력
x/10s main : 문자열로 출력
x/10i main : 어셈블리 형식으로 출력

29. 범위의 단위 (기본 word - 4바이트)
x/10b main : byte - 1바이트 단위 - 10바이트 출력
x/10h main : halfword - 2바이트 단위 - 20바이트 출력
x/10w main : word - 4바이트 단위 - 40바이트 출력
x/10g main : giant word - 8바이트 단위 - 80바이트 출력

30. 디스어셈블링 (disas)
disas func : 어셈블리 코드를 좀 보편적으로 보기 위한 명령어
disas 0x8048300 0x8048400 : 특정 주소 범위사이의 어셈블리 코드를 보기

31. 함수호출 (call)
call func(arg1, arg2) : 특정함수 func를 arg1, arg2 파라메터를 포함하여 호출하고, 반환값은 출력

32. 점프 (jump)
jump *0x08048321 : 해당 주소로 무조건 분기하여 인스트럭션을 계속 수행한다.
jump 10 : 무조건 10행으로 분기하여 수행한다.
jump func : func 함수로 무조건 분기하여 수행한다.

33. 시그널 전송 (signal)
info signals : 보낼 수 있는 시그널의 종류를 확인할 수 있다.
signal SIGKILL : 디버깅 대상의 프로세스에게 KILL 시그널을 보낼 수 있다.

34. 메모리의 특정 영역에 값을 설정 ( set )
set {타입}[주소] = [값] : p 명령 대신에 set 을 통해서 메모리의 특정 주소에 저장하는 것이 더 일반적이다
set {int}0x8048300 = 100 : 해당 주소에 100의 값을 입력한다.

35. gdb 환경설정 (set)
info set : 변경 가능한 환경설정 정보를 출력한다.
info functions : 함수들의 리스트를 출력
info types : 선언된 타입에 대한 리스트를 출력
set prompt psyoblade: : 프롬프트를 psyoblade: 로 변경할 수 있다.
set print array on : 배열을 출력할 때 한 행에 출력하는 것이 아니라 여러 행에 출력한다.

36. 기타 info 를 통해 알 수 있는 정보들
address catch extensions handle objects set stack tracepoints
all-registers common files heap program sharedlibrary symbol types
architecture copying float leaks registers signals target variables
args dcache frame line remote-process source terminal warranty
breakpoints display functions locals scope sources threads watchpoints

--

psyoblade님 이글루에서 펌 (http://psyoblade.egloos.com/2653919)

해외 글들을 중간중간 보고 있긴한데
눈에 띄는 내용이 있길래 간단히 스크랩형식으로 글 하나 작성해봅니다.

내용은 루트킷이니 뭐니 장황하게 써놨지만

루트킷뿐만아니라 드롭퍼임에도 특정 조건에 맞지 않아서 드롭을 하지 않는 녀석(?)들에게도 통용되며 그리 어렵진 않지만 해보지 않으면 마냥 어렵게 느껴질 수 있는 그런 부분입니다.

사실.. 그냥 쉽습니다.

제가 포스팅용으로 글을 쓸 시간은 없고
아래 링크를 참조하시기 바랍니다.

저는 동영상과는 약간 틀리게하지만(툴만?) 결론적으로 따지면
특정 메모리가 할당이 되고 그 할당된  영역을 덤프를 떠서 파일로 만든다는
본질적인 것은 똑같습니다. ^^;

혹시 샘플이 있다면 아래 링크를 참조하여 직접 해보시는 것도 좋을 듯 합니다. ^^;

스크랩 :
http://www.prevx.com/blog/171/ZeroAccess-an-advanced-kernel-mode-rootkit.html