메모장 입니다2

1.정의 -파이어아이 사에서 리버싱을 위해 툴을 모아놓은 용 Windows Offensive VM -침투테스트를 위한 툴 집합은 Command VM이다 2.설치 1)윈도우 10 가상머신을 생성한다. 2)flare vm(https://github.com/fireeye/flare-vm) github 페이지에서 소스를 zip 파일로 다운받는다. 3)powershell에서 실행정책을 설정해주고 4)install.py를 실행해주면 된다. *중간중간에 엔터 눌러줘야 함 5)자세한 내용은 github 페이지에 나와있다. 3.결과

1.myRead NTSTATUS myRead( IN PDEVICE_OBJECT myDevObj, IN PIRP irp ) { //NTSTATUS ntStatus = STATUS_NOT_SUPPORTED; PMYDEVICE_EXTENSION pDeviceExtension; PDEVICE_OBJECT pNextDev; PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(irp); irpCount++; DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "start::myRead()\n"); DbgPrintEx(DPFLTR_ACPI_ID, 0, "irpCount:%x\n", irpCount); pDeviceExtension = (PMYDEVICE_E..

1.DriverEntry NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { UNREFERENCED_PARAMETER(RegistryPath); DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "Driver loading\n"); DriverObject->DriverUnload = MyDriverUnload; /* myCtrlCreateLink(DriverObject, DEV_NAME, DEV_LINK); //wooulogger.exe와의 통신을 위한 MJ_FUCTION 등록. DriverObject->MajorFunction[IRP_MJ_CREATE] = myCtrlCreate; ..

1.목표 -IRP 후킹기술을 이용하여 키 로그를 스니핑하는 커널레벨의 루트킷 제작 2.환경 -시스템 >windows 10, 32bit +64bit는 서명된 드라이버만 설치가능해서 따로 우회기법이 필요함. +드라이버 개발 및 커널 후킹 기법 실습이기 때문에 32bit로 진행 -도구 >visual studio 2015 >wdk

보호되어 있는 글입니다.

0.파일 lab01-01.exe, lab01-01.dll 1.정적 분석 1)PE헤더 >PEVIEW `lab01-01.exe` : 파일 관련 함수들이 이용됨(파일 맵핑, 복사) `lab01-01.dll`: 네트워크 소켓 관련 dll이 이용됨.//그런데 IAT에는 소켓관련 함수리스트가 없다. IDA로 확인해봐도 소켓을 생성하는 코드가 안보인다. 어떻게 이용하는거지?? - 일단 보류

보호되어 있는 글입니다.