Anti Reversing Tec - 안티 기법 정리 자료 링크 안티 기법이 궁금하다면 약간의 코딩 실력과 약간의 독해 실력을 가지고 아래 사이트를 정복하자. 아자! Link : http://www.codeproject.com/KB/security/AntiReverseEngineering.aspx#BpMem 더보기 안티 리버싱 우회 - ZwSetInformationThread 리버서는 역시나 안티기법에 대한 기술에 목이 타는것은 당연한듯하다. 그래서 분석 중 안티 기법이 나오면 혼자서 별별 짓을 다 해보다가 나름 정리한다. 노련한 리버서라면 이미 알고 있는 내용이겠지만 안티 기법(ZwSetInformationThread)으로 골머리 썩힌 과거를 회상하며 정리한다. ZwSetInformationThread는 무슨 동작을 하기에 안티 기법에 사용된다 하는가? 근본적인 부분부터 알아봤다. 프로세스 내의 스레드가 가지는 속성을 변경하는 기특?한 녀석이란다. 안티 리버싱이라는 거창한 네임으로 소개되곤한다. 리버서로선 귀찮은 그럼. 어떻게 안티로 사용될까? 이 문제를 알아보기전 ZwSetInformationThread의 함수 기본 형식부터 알아봐야한다. NTSTATUS ZwSetInfo.. 더보기 ZwLoadDriver 함수 개념 간혹 분석 하다가 ZwLoadDriver를 호출하는 Malware가 보여서 로그를 남긴다. Driver 파일을 로드하기 위해 필요로 하는 함수 중 ZwLoadDriver 함수는 드라이버로 등록된 서비스에 대하여 로드를 수행할 수 있다. ## 우선적으로 설명하지만 현재 외부 네트워크가 연결되지 않은 환경에서 블로깅을 진행하고 있기 때문에 ## 더욱 자세한 정보나 공개되어 있는 정보들에 대한 부가 설명은 제외 되었다. ZwLoadDriver( LSA_UNICODE_STRING buf ); Microsoft 사의 MSDN에서 해당 함수를 검색해보면 위와 같은 함수 형에 대한 설명을 찾을 수 없었다. 위 함수를 이해하기 위해 구글링*을 하던 중 어느 중국의 한 블로거의 소스코드를 보게 되었다. 물론 위와 같이 .. 더보기 IMG 더보기 Info PEB, EPROCESS, KPROCESS, TEB, ETHREAD, KTHREAD ||| [Ctrl + C] -> [Ctrl + F] [Ctrl + V] -> Enter Key ||| PEB ||| EPROCESS ||| KPROCESS ||| TEB ||| ETHREAD ||| KTHREAD kd> dt _PEB nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x010 ProcessParameters : Ptr3.. 더보기 이전 1 ··· 3 4 5 6 7 8 9 ··· 23 다음
