werty2 님의 블로그

아래 코드를 이어서 분석public final int onStartCommand(Intent intent, int i2, int i3) { String str; String str2; String str3; String str4; Thread thread; String str5; int iM2535 = C1032.m2535("۠ۨۨ"); Thread thread2 = null; String str6 = null; while (true) { switch (iM2535) { case 56293: case 1746818: case 1752670: iM2535 ..

기판 부품 구성1. 외부 연결 포트 (상단) 오렌지색 포트 (LAN): 컴퓨터, TV, 게임기 등을 유선으로 연결하는 곳.노란색 포트 (WAN/Internet): 통신사 모뎀에서 오는 메인 인터넷 선을 꽂는 곳.전원 잭 (좌측 상단 검은색): AC 어댑터를 연결하여 보드에 전기를 공급.2. 전원 공급 및 필터부 (좌측 상단)원통형 부품 (전해 커패시터): 전기를 일시적으로 저장했다가 안정적으로 내보냄. 회로를 보호함.작은 사각형 부품들 (인덕터 및 레귤레이터): 외부에서 들어온 높은 전압을 칩셋들이 사용할 수 있는 낮은 전압으로 변환.3. 핵심 연산 장치 (중앙 및 우측)검은색 방열판 (Heatsink): 아래에는 공유기의 두뇌인 CPU가 있음. 인터넷 트래픽을 처리하면서 열이 많이 나기 때문에 금속판을..

이번 주에 한 일Jadx로 Anubis 정적분석(ServiceHandler.onStartCommand 함수 일부)Anubis 샘플 apk파일을 Jadx에 넣어주었다. 폴더 이름이 a, b, c, d 등으로 난독화가 되어있다.난독화 해제를 위해 설정 -> 난독화 해제 -> 난독 해제 활성화를 체크해준다.그 후, 폴더 이름이 아래와 같이 모든 폴더를 완벽히 알아볼 수는 없지만, 중요 폴더들은 식별이 가능하게 된다. 1. AndroidManifest.xml ..

이번 주에 한 일Anubis 다운로드Frida를 통해 에뮬레이터 내용 가로채기(동적분석)우분투 내에서 MalwareBazaar에서 tag:anubis로 검색한 후, 위 사진의 두 번째로 보이는 샘플을 다운받았다.zip 폴더의 패스워트는 infected 라는 설명이 나온다. 버추얼박스 설정에서 포트포워딩 규칙을 추가해주었다. 규칙은 다음과 같다. 이름: adb프로토콜: TCP호스트 IP: 127.0.0.1호스트 포트: 5555게스트 포트: 5555그 후 우분투로 들어와 adb connect 명령어를 통해 호스트(10.0.2.2)의 에뮬레이터와 연결해주었다.successfully 메시지가 아래에 뜨면 성공한 것이다.그 후, 우분투에서 아까 다운받은 zip 파일의 압축을 푼다.압축을 푼 apk 파일이 있는 곳..

디스크/드라이브 불러 탐색1. File > Add Evidence Item2. 넷 중 하나 선택, 여기서는 D 드라이브만 볼거라서 logical 선택Physical Drive (피지컬 드라이브)하드디스크/SSD 전체를 통째로 이미지파티션, 삭제된 파일, 여유 공간 포함포렌식 목적이면 대부분 이걸 선택Logical Drive (로지컬 드라이브)운영체제에서 보여주는 C:, D: 같은 드라이브 단위만 이미지삭제된 파일이나 빈 공간은 포함 안 됨Image File (이미지 파일)기존 디스크 이미지를 다시 불러오거나 분석할 때 선택새로 이미지를 만들 때는 다른 옵션(Physical/Logical)을 먼저 선택Contents of a Folder (폴더의 컨텐츠)특정 폴더 안의 파일만 이미지백업용이나 간단한 증거 ..

개인정보별 점수화10점: 고유 식별 정보 및 민감 정보 → 권장 조치: 업로드 차단 / 암호화 저장 / 일정 기간 내 삭제 권고 등.주민등록번호, 여권번호, 운전면허번호 등8점: 금융 정보 및 생체 정보 → 권장 조치: 업로드 차단 / 암호화 저장 / 일정 기간 내 삭제 권고 등.신용카드 번호, 계좌번호, 지문, 얼굴 인식 데이터 등5점: 직접 식별 가능 정보 → 권장 조치: 불필요한 항목 삭제, 마스킹, 최소한의 공유 범위 설정 등.전체 이름, 상세 주소, 휴대폰 번호3점: 간접 식별 정보 (다른 정보와 결합 시 식별 가능한 정보) → 권장 조치: 보관 기간 축소, 접근 권한 최소화 등.IP 주소, MAC 주소, 접속 기록(로그), 쿠키파일을 스캔할 수 없을 때 → 가이드라인에 따로 경고 메시지 추가암..

https://github.com/ndb796/JavaFX-ARP-Spoofing위 깃허브 주소에 있는 JavaFX 코드를 가져와서 프로그램 구축 기본 설정위의 코드는 인텔리제이가 아닌 이클립스로 작성되었고 오래된 코드이기 때문에 기존 내 인텔리제이의 설정과 달라 설정 조정이 필요함위의 사진과 같이 이전에는 OpenJDK 24를 사용하고 있었는데, JavaFX는 JDK에서 분리가 되어서 호환되지 않음위와 같이 liberica full 버전(FX 지원 포함)을 다운로드해 프로젝트에 적용※깃허브 코드가 9년 전 코드이기 때문에 버전도 그만큼 낮은 버전으로 다운로드, 여기에서는 버전 11을 적용프로젝트 설정의 modules에서 jnetpcap 항목 체크jnetpcap은 C/C++에서 쓰는 패킷 캡처 표준 라이..

실행 후 가장 첫 화면은 IDOR에 관해 설명하는 화면이 나온다. IDOR은 Insecure Direct Object References의 약자로, 웹사이트가 클라이언트의 데이터에 접근할 때 발생한다.위의 예시들과 같이 url에 사용자 정보를 그대로 받아들이고, 그 사용자에 대한 검증을 하지 않는 경우 등에 발생한다. 이는 데이터를 단순히 보는 것을 넘어, 타인의 데이터를 수정하거나 삭제하는 행위로까지 확장될 수 있는 심각한 문제로 이어질 수 있기에 항상 검증을 해야한다. 문제로 넘어가면 위와 같은 화면이 나온다. 위 페이지는 그냥 취약한 앱에 로그인하는 과정이다. 알려준대로 user에 tom을 적고 pass에 cat을 적으면 된다. 다음 페이지에는 가공되지 않은 응답 데이터와 화면에 실제로 보이는 것..

예전(80년대 후반~90년대 초반) 악성코드를 분석하기 위해서는 그 시기에 자주 사용되던 운영체제인 MS-DOS를 깔아 분석을 하면 동작 흐름을 알기가 더 쉬울 것이다. FreeDOS는 MS-DOS와 호환되는 오픈소스 무료 배포 운영체제이다. https://www.freedos.org/download/위의 링크로 들어가 LiveCD를 다운받아준 후, 압축을 푼 뒤 그 안에 있는 iso 파일을 버추얼박스에 넣어주었다.버추얼박스에서 설정은 크게 건드린 부분은 없다.위 사진에서처럼 부팅 순서를 정해주었다. DOS 운영체제에서는 플로피디스크를 이용한 바이러스가 많았기 때문에 플로피도 마지막 순서에 넣어주었다. 그리고 iso 파일 설치가 모두 끝난 후, CD-ROM 드라이브에서 iso 파일을 뺀다. 설치를 모두 ..

이번 주에 한 일syssecApp.apk 동적 분석_Frida이용(아래 보고서 링크에서 확인할 수 있다.)https://www.exploit-db.com/docs/english/33093-introduction-to-android-malware-analysis.pdf Android studio기존에 설치한 안드로이드 스튜디오에서 frida와 adb 설정을 해 준다. 일단 먼저 frida-tools를 깔아준다. 그 다음 frida-server가 설치된 폴더로 들어가 안드로이드 에뮬레이터 안에 윈도우의 frida-server 실행파일을 복사하기 위해 adb push 명령어를 이용한다. 복사하여 안에 들어간 파일이 실행 가능한 권한을 가질 수 있도록 chmod 명령어로 권한을 준다. 그 후, adb roo..