Posts by Year

2019

Windows - Anti-Debugging Technique: GetThreadContext()

1 분 소요

Anti-Reversing Technique: GetThreadContext() 0x00_Description Packing된 프로그램의 경우 디버깅을 방지하기 위해서 CC Detection과 같은 디버깅 방지 기법이 적용되어 있다. 때문에 리버서는 Hardware Breakpoi...

Windows - Anti-Reversing Technique: Hide Process

8 분 소요

Anti-Reversing Technique: Hide Process 0x00_Description 별도의 Driver를 로드하는 프로그램 분석을 진행하다 보면 프로세스가 TaskManager에서 탐색되지 않는 경우가 존재한다. 이 기법을 DKOM(Direct Kernel Obje...

Windows - Kernel Memory Dump

2 분 소요

Kernel Memory Dump 0x00_Description Debugger로 부터 Driver Module(*.sys)를 Hiding하는 Driver가 존재하는 경우가 있다. 필자가 본 프로그램의 경우 VM Detection이 포함된 Packer가 함께 적용되어 있어 있었다....

Windows - x64dbg Script

최대 1 분 소요

x64dbg Script 0x00_Description 안티 디버깅, 패킹 등을 자동으로 우회하기 위한 x64dbg 스크립트 예제로 x64dbg에서 [Favourites] > [Script] > [Add]에서 작성한 스크립트 추가 및 단축키 설정 후, 단축키를 통해 로드...

Windows - Process Injection Technique: KernelCallbackTable

5 분 소요

Process Injection Technique: KernelCallbackTable 0x00_Description 윈도우 OS에서 프로세스 인젝션 기법 중 KernelCallbackTable0(이하, KCT)을 이용한 방법에 대하여 명세하였다. KCT는 PEB 구조체에 포함되어...

Windows - PEB(Process Environment Block)

6 분 소요

PEB(Process Environment Block) 0x00_Description 윈도우 OS의 Data Structure인 PEB는 운영체제 내부에서 사용하는 Opague Data Structure로 단순하게 생각하면 프로세스에 대한 정보를 가지고 있는 구조체이다. 이 구조체...

Windows - WinDbg Extensions

1 분 소요

WinDbg Extensions 0x00_Description 윈도우 Debugger인 WinDbg의 확장 모듈들에 대한 정리로 여기를 참조하여 쓸만한 모듈들에 대한 설정 및 기본 활용 방법을 명세하였다.

Back to Top ↑