@ PE 파일 분석(PE 헤더) 1. PE 구조 - PE 헤더 : IMAGE_DOS_HEADER, MS-DOS Stub Program, IMAGE_NT_HEADERS, IMAGE_SECTION_HEADER - PE 바디 : 실제 데이터 정보가 있는 영역(text, data, rsrc, reloc) 2. IMAGE_DOS_HEADER - 64Byte로 구성되어 있으며, 19개 필드로 구성되어 있음 - PE 파일 시그니처와 IMAGE_NT_HEADERS의 위치 정보를 갖고 있다. - e_magic : '5A4D' -> MZ -> PE 파일 시그니처를 의미한다. - e_ifanew : IMAGE_NT_HEADERS의 위치를 의미한다. (0x000000D8) 0x000000D8에 504A(PE 파일 시그니처)를..

@ 어셈블리(레지스터 이해) 1. 어셈블리어 - 기계어가 사용하는 2진수/16진수 숫자들을 사람들이 이해할 수 있게 만든 언어이다. - C 언어는 몇개 안되는 명령어로 프로그램을 제작하는 반면에, 어셈블리어는 같은 프로그램을 제작할 때 몇십줄 이상 코드를 사용한다. 2. 레지스터 - CPU에 존재하는 저장소(메모리, 변수 개념)이며, 작은 데이터를 임시로 저장할 때 사용한다. - 실행 중인 명령어 제어, 산술 연산 처리, 메모리 주소 지정을 실시한다. 1) EAX(Extended Accumulator Register) - 32bit - 16bit 환경에서 AX라고 하며, 상위 8bit를 AH, 하위 8bit AL 이라고 한다. - 산술 연산, 논리 연산을 수행할 때 사용한다. - 함수의 리턴값이 저장되므..

@ 리버싱 - 역공학 분석 : 실행 파일을 역으로 분석하는 행위 - 정상적인 리버싱 : 프로그램 분석, 업데이트, 패치, 악성 코드 분석 - 악의적인 리버싱 : 프로그램 크랙, 무단 사용, 시리얼 키 우회, 악성 코드 제작/유포 1. 실행 파일(Excutable File) - 명령어에 의해서 특정 작업을 수행할 수 있도록 생성된 파일(Code, Data 포함되어 있음) - 각각의 운영체제마다 실행 파일 형식은 다음과 같다. Windows PE(Portable Exectable) Linux ELF(Excutable & Linkable Format) MAC Mach-O(Mach Object File Format) 2. 프로그램 & 프로세스 & 프로세서 & 쓰레드 - 프로그램 : 작업을 수행하기 위해서 명령어..

악성코드 악의적인 동작을 실시하는 코드가 들어간 실행 파일 / 프로그램 악성코드 배포 목적 개인 및 기업 정보를 탈취 및 수집하기 위한 목적으로 배포함 시스템 , 디스크 , 파일 파괴 삭제, 조작 랜섬웨어와 같은 금전 요구 광고 노출 및 홍보 수단 3 .악성코드 분석 유형 3.1 패킹 여부 확인 실행 파일이 패커에 의해서 압축되어 있는지 프로덱터에 의해서 보호되어 있는지 확인하는 단계 분석 도구로는 exeinfope ,pEid, peview ,ollydbg importrec, loadpe 3.2 기초 정적 분석 악성코드 파일을 실행하지 않고 간략하게 분석하는 단계 악성코드 분석시 가장 먼저 실시하는 단계 분석 내용으로는 pe파일 관련 내용 dll 및 api 목록 확인 , 문자열 분석 도구로는 exeinf..

어떻게 물어봐야 할까요? 프로그래머의 정의 - 해결하는 문제를 정의하고 코드로 해결하는 사람 내 문제를 이해하자 질문을하기전에 먼저 생각을 해봐야하는것은 내가 정의한 문제가 무엇인가 이 문제를 이사람에게 물어보는게 맞을까 상대방은 내가 정의한 문제를 이해 했나? 나는 상대방의 대답을 이해 했나? 코드의 문제가 맞나? 이 코드가 내가 정의한 문제가 맞나? 라이브러리의 버그인지 확인도 해볼 것 - 라이브러리도 결국 나 같은 개발자가 코딩해서 짰다. 코딩으로 풀어야하는 문제인지 아니면 설정문제인지 확인도 해볼 것 왜 내 말을 알아듣지 못할까요? (나는 왜 알아듣기 힘들까요?) 고맥락 문화 - 저맥락 문화 내가 정보를 표현하는 방법 상대가 정보를 받아들이는 방법 상대방이 정보를 알고 있을거라고 가정을 하고 이야..

저는 졸업작품을 준비하고 있는 컴퓨터공학부 4학년 학생입니다! 저는 같은 과 친구 2명과 '영갱승'이라는 팀을 만들어 진행 중입니다. ​ 저희 학교에서는 회사 또는 졸업한 선배가 학생들을 도와 함께 졸업작품을 준비할 수 있도록 멘토링 해주는 산학협동 프로젝트를 진행하고 있는데요! '새움 소프트'라는 회사와 진행하게 되었습니다~ ​ 프로젝트 기능 세부 설정 미팅 중 새움소프트 경기도 안양시 만안구 안양천 서로 93 새움빌딩 1, 2층 ​ 새움 소프트는 그룹웨어 서비스를 전문적으로 하는 소프트웨어 기업으로 최근 아파트 전자결제 서비스를 개발하여 서울시장상을 수상하기도 했습니다!! ​ 아파트 전자결제 서비스는 관리사무소의 종이 문서를 전자 문서로 바꾸어 관리비를 투명하게 관리할 수 있는 서비스입니다. 아파트1..