레드아이

EXE파일과 관련 DLL파일들이 메모리 상에 로드되면서 비로소 프로그램이라는 것이 사용 가능하게 되고 이렇게 로드된 하나의 EXE와 여러개의 관련 DLL들의 소위 운영체제론에서 이야기하는 하나의 프로세스를 구성하게된다.EXE파일을 로드하는 역할을 담당하는 것이 Win32운영체제의 서브시스템으로 존재하는 프로그램 로더이고 EXE의 파일 구조는 이 로더가 식별할 수 잇는 방식으로 구성된다. EXE와 DLL은 같은 파일 구조를 지니며 마이크로소프트에서는 이러한 파일구조를 PE파일 포맷이라고 명명했다.PE구조로된 PE파일( Portable Executable)들은 플랫폼에 관계없이 Win32운영체제가 들어가는 시스템이면 어디서든 실행 가능하다. Win32 Platform SDK의 "WinNT.H"헤더 파일 내의..

이번글은 PE파일의 자료들을 모아보려고한다. 원래는 후딱 공부하고 요점만 딱! 적으려고 했으나 귀차느즘과 ... 너무 어렵다 ㅋ... 그래서 시간이 조금 걸릴거 같아서 일단 공부하고 잇는 자료들을 쭉모우고 계속 보고 또 보고 해야겠다. pe파일 포맷 자료 1http://codeengn.com/archive/Reverse%20Engineering/File%20Structure/PE%20%ED%8C%8C%EC%9D%BC%20%EA%B5%AC%EC%A1%B0%20%5Bsunho104%5D.pdf

이번에는 파일을 열려고하니 열리지 않는다 그래서 열심히 구글링한 결과 해더파일이 없다고 해더파일을 만들라고하는 블로그를 발견하였다. PE파일구조 어쩌고 저쩌고 나오던데 그렇다면!!! PE파일 구조를 공부해봐야겠다. 오늘은 이만 졸려서 여기까지만 하고 내일부터는 진짜로 PE파일 구조에 대해 하나하나 알아보도록하자!

Basic 01 문제이다. 하드를 시디롬으로 인식시키기 위해서는 GetDriveTypeA의 리턴값이 무엇이 되어야 하는가??? 라는 문제이다. 한번 실행시켜 보도록 하자 처음 실행시키면 뜨는 화면이다. 확인을 누르면 이런 화면이 출력된다. 이 사진은 올리디버거를 사용한뒤 사진이다. 표시한 부분을 보면 앞줄에서 EAX와 ESI를 비교한후에 둘의 값이 같다면 뒤의 주소로 바로 점프하려라라는 뜻이다. 그러나 F8로 하나씩 내려와보면 EAX는 1 ESi 는 2가 되어 값이 다르므로 점프를 하지않고 실패구문이 나온다. 그러면 해결방법은 두가지값의 같도록 맞추던지 아니면 비교부분을 같지 않으면 혹은 무조건 점프를 하게 바꾸는 방법이다. 두번째 방법은 JE 부분을 JMP로 바로 바꾸어주면 된다. 그러나 이 문제에서 ..

다시한번 새마음 새뜻으로 시작해보기로 하였다. 이번에는 코드엔진의 내용을 한번 공부해보기로 마음먹었다. 싸이트 주소는 http://codeengn.com/ 여기서 challenges 클릭후 start 를 클릭하면 이렇게 뜬다. 위에서부터 아래로 내려오면 점점더 심화과정으로 가는 것이다. 일단은 베이직부터해서 차근차근 시작해보아야겠다.지금 현재 나의 OS는 윈도우7 64비트이다.저번에 하다보니 이것저것 문제가 많아서 이번에는 VMware에서 하기로 하였다. VMware는 윈도우 xp 서비스펙3 버전을 깔고 여기 문제들과 올리디버거를 설치해놓은 상태이다.이제 상콤하게 다시 시작해보자~

ESP - Stack pointer register ESP 레지스터는 스택의 크기를 조정할때 사용되는 레지스터입니다. 스택의 최상단주소값을 가지고있으니 즉 스택의 크기를 나타냅니다. 어셈블리어의 PUSH 즉 스택에 값을넣는 동작을 할 때 ESP 가 4 만큼 줄어듭니다. 왜냐면 값을 넣으니 메모리공간을 늘려주어야 겠죠 그것이 4를 줄이는 이유입니다.그런데 늘리지 않고 줄인다는것에 대해 자료구조 공부를 안하신분들은 의문을 가질수 있습니다. 줄이는이유는 스택의 제일아래 부분이 높은주소를 가지고 갈수록 낮은 주소를 가집니다.그러니까 빼주어야합니다. 반대로 증감시키면 스택의 크기가 감소합니다. EBP - Base pointer register EBP 레지스터는 스택프레임 형태로 저장된 함수의 지역변수 , 전달인자..

EnCase® Enterprise (EE)는 사건대응과 포렌식 을 기반으로 하는 시큐리티 자산을 결합시켜, 기존의 정보 보안 에 대한 투자를 효율적으로 활용할 수 있는, 세계 표준의 베스트·솔루션입니다. EE 는 기업 내의 시큐리티 문제에의 대응, 허위 행위의 감사와 예방, eDiscovery 작업, 네트워크상의 소프트웨어 감시, 법적 수사의 지원 등, 기업 내에서의 인프라의 구축을 실시합니다. EnCase® FE 와 비교해, 네트워크 운용 지원으로 종래의 독립적인 포렌식 기능에 네트워크 시큐리티 기능이 큰 폭으로 추가됩니다. EnCase 연결도 전세계의 대부분의 대기업은 EnCase® Enterprise(EE)의 아래와 같은 이점을 활용하기 위하여 도입을 실시하고 있습니다.- 기존의 시큐리티·시스템과의..

Chapter 1-컴퓨터 포렌직은 사이버 범죄 혹은 IT와 관련된 증거물 획득을 위해 IT기술을 총동원하여 과학적인 조사를 통해 범죄자를 밝혀내는 것이라 할 수 있다.-컴퓨터 하드 디스크는 다양한 크기와 다양한 용량이 사요되고 있으며, 컴퓨터와 연결을 위한 인터페이스도 E-IDE, S-ATA, SSD, USB등으로 다양하다.-컴퓨터 포렌직의 절차는 ‘대상물 수집 > 조사를 위해 복사본 생성 및 엔케이스 프로그램에 연결 > 이미징 작업 > 분석 및 증거 찾기 > 보고서 작성’의 순으로 진행한다.Chapter 2-엔케이스는 1997년 미국에서 설립된 가이던스 소프트웨어사에서 개발한 컴퓨터 포렌직 프로그램이다. 전 서계 1만4,000여 명의 조사원 및 수사관이 사용하고 있다.-엔케이스의 주 화면은 네 가지로 ..

패스워드 파일이란 한 서버를 사용하는 사용자들의 모든 정보를 기록해 놓은 파일 리눅스는 서버의 용도로 사용되기 때문에, 수시로 새로운 데이터들이 업데이트 되기 마련입니다. 따라서 데이터들이 손실되는것을 방지하기 위해 "백업"을 하는것은 필수이며, 이 백업을 할 때 오늘 배운 압축 명령어들이 사용됩니다. 합치기 : tar cvf 합칠파일이름 합칠파일들해제하기 : tar xvf 해저할파일 c -Create : 새로운 파일을 만드는 옵션x -eXract : 압축을 해제시키는 옵션v -View : 압축이 되거나 풀리는 과정을 출력하는 옵션.f -file :파일로서 백업을 하겠다는 옵션 tar는 압축을 하면 용량이 늘어난다. 압축이라기 보다는 붙여놓는다는 의미이며해제할때 속도가 빠르다는 장점이 있다. gzip은 ..

lsls -als -lls -alpwdcd ..mkdirrmmv 1 2cp 1 2wUSER TTY FROM LGING IDLE JCPU PCPU WHAT1. 어떤 ID로 login했는지 보여준다2. 콘솔로 접속을 했는지 터미널로 접속을 했는지 보여준다tty는 콘솔 pts는 터미널접속을 의미한다. 그 뒤의 숫자는 몇번째 터미널로 접속 했는지 보여준다 3명이 동시에 텔넷 접속을 하면 순서대로 pts/0, pts/1, pts/2의 PTS를 받게 된다3. 접속한 사람의 컴퓨터 IP를 보여준다. root의 경우엔 콘솔 접속을 하였기 때문에 ip가 나타나지 않는다 자신의 서버에 어떤 사람이 불법접속을 하면 이곳에 나오는 ip를 보고 역해킹을 할 수 있다.4. 어느 시간에 로그인 했는지 보여준다.5. 지연시간으로서,..