정보보안 스토리

@ 패킹(Packing) - 실행파일을 암호화하거나, 압축하여 소스코드를 볼수 없도록 하는 것 - 압축을 하면 용량을 줄이고, 실행속도가 빨라짐(사용자 측면에서도 유리하지만, 악성코드 유포시에도 유리하게 작용) - 분석하기에 어려움이 존재함(언패킹이 필요하기 때문에) @ 언패킹(Unpacking) - 패킹된 소스코드를 보기 위해 암호화나 압축을 푸는 행위 @ 패커(Packer) - 패킹을 해주는 프로그램(Compressor, Protector) - Compressor : 파일의 크기를 줄여 배포를 쉽게하도록 하는 목적, 주로 악성코드 실행속도를 빠르게 하는데 목적이 있고 대표적으로 UPX, FSG 등이 있다. -> UPX(Ultimate Paker eXecutables) : 여러 운영체제에서 수많은 파일..

AND 비트연산을 수행한다. Operand 값을 2진수로 바꾸고, 비트 연산을 통해서 양쪽다 1인 값만 참이된다. SUB 마이너스 기능을 수행한다. SUB a1, a2 형식이면 a1의 값을 a2만큼 감소한 후 결과값을 a1에 저장한다. TEST 첫번째 Operand와 두번째 Operand를 AND 시킨다. 이 연산의 결과는 ZF에만 영향을 미치고 Operand에 영향을 미치지 않고 버려진다. 두 Operand가 모두 0인지 아닌지 판단 가능하다 CMP 첫번째 Operand와 두번째 Operand를 뺀다. 이 연산의 결과는 ZF에만 영향을 미치고 Operand에 영향을 미치지 않고 버려진다. 두 Operand가 같은지 판단 가능 하다

Reversing 분석을 하다보니 어셈 명령어가 헷갈려서 다시한번 정리하고 올려본다.. - 데이터 이동 명령어 mov - Move mov 명령어는 두번째 인자의 주어진 데이터(레지스터, 메모리 주소, 상수값)을 첫번째 인자에 복사합니다. 주의할 점은, 레지스터끼리의 데이터 이동은 가능하지만, 메모리 주소간의 데이터 이동은 할 수 없다. 이러한 경우에 메모리 간 데이터 복사를 위해서는 복사하고자 하는 데이터를 먼저 특정 레지스터로 이동 후 이동해야 한다. mov eax, ebx — ebx의 데이터를 eax에 복사한다. mov byte ptr [var], eax — eax를 var가 가르키는 주소로 복사한다. push — Push stack push 명령어는 현재 ESP 레지스터가 가지고 있는 스택 메모리 ..

HTTP Error Code 정리 HTTP 에러코드 에러 메시지 주로 발생하는 Error : 302, 403, 404, 500 302 같은경우 자동으로 리다이렉트 되는 경우가 많음. 100 - Continue 101 - Switching Protocols 200- OK, 에러 없이 전송 성공 202 - Accepted, 서버가 클라이언트의 명령을 받음 203 - Non-authoritative Information, 서버가 클라이언트 요구 중 일부만 전송함 204 - Non Content, 클라이언트 요구를 처리했으나 전송할 데이터가 없음 205 - Reset Content 206 - Partial Content 300 - Multiple Choices, 최근에 옮겨진 데이터를 요청함. 301 - Mov..

cross site tracing (XST 공격) XST 공격이란 기본적으로 HTTP 메소드 중 하나인 TRACE메소드를 이용한 XSS기법 중 하나이다. 서버에서 TRACE 메소드를 지원하고 있을 때, 클라이언트가 서버로 TRACE 요청을 보내면 서버는 요청받은 메시지를 그대로 반환하여 응답한다. 이때 TRACE요청에 의해 반환되는 응답에는 사용자의 쿠키정보 등과 같은 중요정보도 포함되게 되는데 이걸 가로채는 공격이다. TRACE 메소드를 이용한 요청을 보내기 위해서는 XMLHTTP 나 XMLDOM을 주로 이용하게 됩니다. XST 공격 시나리오 - 공격자가 표적 홈페이지의 XSS 취약점을 발견 - 공격자가 XSS 취약점을 바탕으로 공격코드를 작성하여 관리자에게 메일 또는 게시글 작성 - 관리자(로그인상태..

* 파일 다운로드 경로 우회 1) 파일 다운로드 경로 ../../../../etc/passwd ../../../../etc/hosts ../../../../winnt/win.ini ../../../../boot.ini ../../../../wp-config.php 2) 인코딩 ../../../../etc/passwd %2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64 ../../../../../../../../../etc/hosts 인코딩 %2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%68%6f%73%74%73 더블 인코딩 %2..

스위치 환경에서의 스니핑 공격기법 1. 스위치 재밍(Switch Jamming) - 스위치의 MAC Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 브로드케스팅동작을 하게 만드는 방법. - 스위치는 Fail Open 정책 즉 실패시에 모두 허용해주는 정책을 따르는 장비이므로 문제가 발생하면 허브처럼동작 - MAC Address Table을 채우기 위해 Source MAC주소를 계속 변경하면서 패킷을 지속적으로 전송하는 방식으로 공격. 2. ARP Spoofing - 공격자가 특정 호스트의 MAC 주소를 자신의 MAC주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP Cache에 특정 호스트의 희생자에게 지속적으로 전송하면 희생자의 ARP Ca..