2010/08/30 13:29

Tool을 이용한 초간단 언패킹! (UPX편)

2010/08/30 13:29 in 해킹보안 (Secure)

오늘은 기존에 했던 메뉴얼 언패킹이 아닌 다소 쉬운 방법으로 tool을 사용한 언패킹(unpacking)을
해보도록 하겠습니다.
그전에 패커(Packer)에 대해 다시 한번 간단히 정리 해볼까요!

패킹(packing)은 실행파일 포장이라는 개념으로 쉽게 이해하시면 될 것 같습니다.

아래 그림은 파일이 패킹되어 메모리에 올라가는 일괄의 과정을 표현한 것으로서 패킹된 파일은 메모리 할당시 재배치(Relocation) 과정을 하지 않기 위해 target 프로그램과 동일한 위치에 .txt 섹션을 배치 합니다.
Uninitialized data section은 언패킹 후 메모리에 올릴 장소입니다.

언패킹을 하기 위해서는 먼저 Packer Detection(탐지)을 통해 패커를 확인하는 작업이 선행되어야 합니다.
패커를 확인하는 가장 손쉬운 방법은 잘 알려진 패커 탐지 tool을 이용하는 것이며 탐지 tool로는 PEID, DIE,
RDG, exeinfo PE 등 이 있습니다.

오늘 시연에 사용된 tool은 upx와 Exeinfo PE 이며 upx는 win32 콘솔 버젼으로 언패킹하려는 파일과
동일한 폴더에 존재하여야 합니다.
그럼 이제부터 초간단 언패킹의 세계로 빠져 볼까요?

패킹된 샘플 파일을 Exeinfo PE 를 이용하여 정보를 확인 해 보니 UPX로 패킹되어 있다는걸 손쉽게 확인 할 수 있습니다.
이제 이 정보를 가지고 upx tool을 사용하여 언패킹을 해보도록 하겠습니다!
순식간에 지나가니 정신 바짝 차리셔야 합니다~

사용된 upx tool의 기능에 대한 설명이 보이는 군요.
(언패킹 뿐만 아니라 패킹도 가능하다라는건 두말 하면 입 아프죠?)

패킹이 풀리면서 늘어난 파일 사이즈와 "Unpacked 1 file" 이라는 결과가 확인 되었습니다.

대상 파일을 Exeinfo PE tool로 다시 확인해 보면 최종적으로 언패킹 된 걸 확인 할 수 있습니다.

글을 마치며...
tool을 사용하는 방법은 언패킹 관련 기법중 아주 기초적인 내용입니다. 차근차근 기초부터 쌓아가다 보면 수작업으로 하는 고급 언패킹 기술도 그리 어렵지 않게 해결할수 있겠죠 ^^?

출처 : 안철수연구소 ASEC 대응팀 블로그

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Posted by 날으는물고기

Anti-reversing, Compressor, die, exeinfo PE, hi.pe.kr, Packer, Packer Detection, packing, PEiD, RDG, Relocation, Unpacking, upx, 물고기, 보안, 언패킹, 패커, 패킹, 해킹

Trackback 0 Comment 1

날으는물고기 2010/08/30 13:32
OllyDbg를 이용한 웜파일 분석 (언패킹하는법)

2010/08/30 09:57

수도권 여행지 베스트 85

2010/08/30 09:57 in 기타임시 (TEMP)

1. 서울 여행 : 서울 사람도 모르는 서울의 숨은 비경
서울 여행 1위_북악산 서울성곽*서울의 역사와 자연을 걷다
서울 여행 2위_국립중앙박물관과 서울역사박물관*대한민국 대표 박물관 vs. 서울 대표 박물관
서울 여행 3위_종묘와 창덕궁*이곳에는 특별한 매력이 있다
함께 둘러볼 곳 1_최순우 옛집*시민들이 지키는 아름다운 옛집
함께 둘러볼 곳 2_올림픽공원과 몽촌토성*공원을 산책하며, 백제를 상상하며
함께 둘러볼 곳 3_남산 N서울타워 *황홀한 국제도시 서울의 야경

2. 인천 여행 : 바다와 역사가 어우러지다
인천 여행 1위_차이나타운*붉은 중국으로 떠나는 여행
인천 여행 2위_월미도*지금 월미도는 변신 중
인천 여행 3위_수도국산 달동네박물관*달동네에 달동네박물관
함께 둘러볼 곳 1_소래포구*한 손엔 회 한 접시, 다른 손엔 젓갈 한 봉지
함께 둘러볼 곳 2_영종도*수도권에서 가장 가까운 바다 여행

3. 강화 여행 : 오감, 오각이 즐거운 섬
강화 여행 1위_전등사와 삼랑성*산사에서 역사와 풍광을 만난다
강화 여행 2위_석모도*마음을 적시는 아름다운 일몰
강화 여행 3위_덕포진 교육박물관*추억이 함께하는 수업시간
함께 둘러볼 곳 1_광성보와 용두돈대*신미양요의 치열한 격전지
함께 둘러볼 곳 2_강화 고인돌*가장 잘 생긴 고인돌
함께 둘러볼 곳 3_강화 풍물시장*순무 김치와 새우젓 알뜰하게 사는 법
함께 둘러볼 곳 4_강화 시내 역사 유적들*제주에는 올레길, 강화에는 나들길

4. 부천 여행 : 판타스틱한 볼거리와 재미가 가득한 곳
부천 여행 1위_아인스월드*세계 최고 수준의 미니어처 테마파크
부천 여행 2위_부천로보파크*미래의 친구, 로봇과 조우하다
부천 여행 3위_부천활박물관과 궁도장*활 잘 쏘는 민족은 뭐가 달라도 다르다
함께 둘러볼 곳 1_뮤지엄 만화규장각*대한민국 만화의 모든 것
함께 둘러볼 곳 2_부천 판타스틱 스튜디오*30년대 종로거리를 걸으며 나도 영화 속 주인공

5. 고양 여행 : 다양한 문화유산과 일상이 공존하다
고양 여행 1위_중남미 문화원*한국에서 중남미와 조우하다
고양 여행 2위_행주산성*가장 전망 좋은 역사 현장을 찾으라면?
고양 여행 3위_원당 종마목장*걷는 것만으로 휴식이 되는 곳
함께 둘러볼 곳 1_테마동물원 주주*눈으로만 바라보는 동물원은 가라!
함께 둘러볼 곳 2_증권박물관*당신의 주식, 채권, 펀드는 안녕하신가요?
함께 둘러볼 곳 3_일산호수공원*운동하고, 산책하고, 쉬는 사람들
함께 둘러볼 곳 4_밤가시초가*없어버린 일산의 옛 모습을 찾아서

6. 파주 여행 : 평화와 긴장이 일상처럼 공존하는 곳
파주 여행 1위_임진각 평화누리*평화의 바람아 일어라!
파주 여행 2위_헤이리 예술마을*감성 충만한 예술인 마을에서 한나절
파주 여행 3위_자운서원*시대의 경세가 율곡 이이를 기억하는 곳
함께 둘러볼 곳 1_영집 궁시박물관*활과 화살, 작품으로 변신하다.
함께 둘러볼 곳 2_유비파크*상상이 현실이 되는 미래도시 탐험
함께 둘러볼 곳 3_산머루농원*63m 산머루 와이너리를 견학해 보자!
함께 둘러볼 곳 4 반구정*황희 정승이 자연을 즐기던 곳

7. 양주 여행 : 잃어버린 시간을 찾아 떠나는 별빛 여행
양주 여행 1위_송암 스페이스센터*양주에서 떠나는 우주 여행
양주 여행 2위_회암사지*그 옛날 회엄사에서 무슨 일이?
양주 여행 3위_필룩스 조명박물관*감성 조명의 진화
함께 둘러볼 곳1_장흥아트파크*예술과 친구가 되다
함께 둘러볼 곳2_대장금 테마파크*장금이를 기억하시나요?

8. 포천 여행 : 물 좋고, 산 좋고, 술 좋은 곳으로 사라지다
포천 여행 1위_국립수목원*푸른 생명을 가꾸고 이어가다
포천 여행 2위_산사원술박물관*맑은 물로 빚은 술 향기에 취하다
포천 여행 3위_국망봉 자연휴양림*손닿지 않은 자연과의 조우
함께 둘러볼 곳 1_아프리카 예술박물관*검은 대륙에 대한 편견을 지우기
함께 둘러볼 곳 2_허브아일랜드*허브의 모든 것.
함께 둘러볼 곳 3_산정호수와 명성산*억새 동산에서 보내는 가을

9. 가평 여행 : 머물고 싶은 순간들
가평 여행 1위_남이섬*산책하기, 자전거타기 그리고 머무르기
가평 여행 2위_호명호수*깊은 산 속에 숨겨진 호수
가평 여행 3위_아침고요수목원*잘 가꾸어진 정원 산책하기
함께 둘러볼 곳 1_운악산 현등사*많은 이야기를 담고 있는 절
함께 둘러볼 곳 2_코스모피아 천문대*깊은 숲 속에서 별빛을 찾다
함께 둘러볼 곳 3_용추계곡*시원한 물과 깨끗한 바람
함께 둘러볼 곳 4_국립 유명산 자연휴양림*휴양림으로 떠나는 숲 속 나들이

10. 남양주.구리 여행 : 다산의 추억과 삶이 오롯이 배인 곳
남양주.구리 여행 1위_수종사*최고의 전망을 즐기는 차 한 잔
남양주.구리 여행 2위_왈츠와 닥터만 커피박물관*악마처럼 검고, 지옥처럼 뜨거우며, 사랑처럼 달콤한 커피
남양주.구리 여행 3위_몽골문화촌과 몽골 민속공연*같은 듯 다른 나라 몽골을 찾아 떠나는 여행
함께 둘러볼 곳 1_동구릉*처음부터 이름이 동구릉이었을까?
함께 둘러볼 곳 2_남양주 종합촬영소*세트장도 둘러보고 영화 원리도 체험하고
함께 둘러볼 곳 3_축령산 자연휴양림*깊은 숨으로 내 몸 청소하기
함께 둘러볼 곳 4_구리시 자원회수시설*구리타워에서 한강을 바라본다
함께 둘러볼 곳 5_다산유적지와 실학박물관*긴 유배, 더 긴 휴식

11. 양평 여행 : 지역 전체가 거대한 복합문화공간
양평 여행 1위_들꽃수목원*보석처럼 빛나는 산책
양평 여행 2위_황순원문학촌 소나기 마을*소년과 소녀의 슬픈 사랑이야기에 눈물 흘리다
양평 여행 3위_두몰머리와 세미원*물의 정원, 자연과 인간의 만남
함께 둘러볼 곳 1_용문사*천년 세월을 지키는 은행나무
함께 둘러볼 곳 2_민물고기생태학습관*우리 땅, 우리 강에 살고 있는 물고기 보러 가기
함께 둘러볼 곳 3_보릿고개 마을과 연수리 계곡*보릿고개 체험하기
함께 둘러볼 곳 4_바탕골예술관*원스톰 문화공간

12. 여주.이천 여행 : 여행 감성 높이기 프로젝트
여주.이천 여행 1위_신륵사*정자에서 옛 풍경을 그리워하다
여주.이천 여행 2위_테르메덴 온천*단아한 분위기에서 좋은 물과 만나다
여주.이천 여행 3위_이천 세계도자센터, 여주 세계생활도자관, 광주 경기도자박물관*도자 안목 높이기 프로젝트
함께 둘러볼 곳 1_여주 고달사지*아름다운 고달사지 부도
함께 둘러볼 곳 2_여주 목아박물관*조각에 담긴 장인의 혼
함께 둘러볼 곳 3_여주 영릉*성군, 세종대왕과의 만남
함께 둘러볼 곳 4- 이천 산수유마을*황금 꽃이 상춘객을 유혹하는 곳
함께 둘러볼 곳 5- 이천 영월암*둥근 마애불이 빙긋 웃어주는 곳

13. 용인.안성 여행 : 그곳에 가면 항상 다르다
용인.안성 여행 1위_남사당놀이, 바우덕이 토요상설 공연*옛것을 찾아 떠나다
용인.안성 여행 2위_한택식물원*바오밥나무와 어린왕자를 만나다
용인.안성 여행 3위_너리굴문화마을*세상에 단 하나뿐인 나만의 것 만들기
함께 둘러볼 곳 1_경기도박물관 & 백남준아트센터*경기 최고의 박물관이 한자리에
함께 둘러볼 곳 2_건강나라 & 죽주산성*최고의 찜질방과 천연 요새
함께 둘러볼 곳 3- 칠장사& 대한민국술박물관*사천왕상과 술의 모든 것

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Posted by 날으는물고기

hi.pe.kr, 가평여행, 강화여행, 건강나라, 경기도박물관, 경기도자박물관, 고달사지, 고양여행, 고인돌, 광성보, 교육박물관, 구리여행, 구리타워, 국립수목원, 국립중앙박물관, 국망봉, 궁도장, 궁시박물관, 남사당놀이, 남산타워, 남양주여행, 남양주종합촬영소, 남이섬, 너리굴문화마을, 다산유적지, 달동네박물관, 대장금테마파크, 대한민국술박물관, 덕포진, 동구릉, 두물머리, 들꽃수목원, 로보파크, 만화규장각, 명성산, 목아박물관, 몽골문화촌, 몽골민속공연, 몽촌토성, 물고기, 민물고기생태학습관, 바우덕이, 바탕골예술관, 반구정, 밤가시초가, 백남준아트센터, 보릿고개마을, 부천여행, 북악산, 산머루농원, 산사원술박물관, 산수유마을, 산정호수, 삼랑성, 서울N타워, 서울성곽, 서울여행, 서울역사, 서울역사박물관, 석모도, 세계도자센터, 세계생활도자관, 세미원, 소나기마을, 소래포구, 송암스페이스센터, 수도국산, 수도권, 수종사, 신륵사, 실학박물관, 아인스월드, 아침고요수목원, 안산여행, 양주여행, 양평여행, 여주여행, 여행지, 역사유적, 연수리계곡, 영릉, 영월암, 영종도, 예술박물관, 옛집, 올림픽공원, 왈츠와닥터만, 용두돈대, 용문사, 용인여행, 용추계곡, 운악산, 원당종마목장, 월미도, 유명산, 유비파크, 이천여행, 인천여행, 일산호수공원, 임진각, 자연휴양림, 자운서원, 자원회수시설, 장흥아트파크, 전등사, 조명박물관, 종묘, 죽주산성, 중남미문화원, 증권박물관, 차이나타운, 창덕궁, 축령산, 칠장사, 커피박물관, 코스모피아천문대, 테르메덴온천, 테마동물원, 토요상설공연, 파주여행, 판타스틱스튜디오, 평화누리, 포천여행, 풍물시장, 필룩스, 한택식물원, 행주산성, 허브아일랜드, 헤이리예술마을, 현등사, 호명호수, 활박물관, 황숭원문학촌, 회암사지

Trackback 1 Comment 0

2010/08/28 09:21

PsExec, RunAs Tools

2010/08/28 09:21 in 운영체제 (L,B,WIN)

PsExec (part of PsTools - download PsExec)

Execute a command-line process on a remote machine.

Syntax
psexec \\computer[,computer[,..] [options] command [arguments]

psexec @run_file [options] command [arguments]

Options:

computer The computer on which psexec will run command. Default = local system
To run against all computers in the current domain enter "\\*"

@run_file Run command on every computer listed in the text file specified.

command Name of the program to execute

arguments Arguments to pass (file paths must be absolute paths on the target system)

-a n,n,... Set processor affinity to n. Processors are numbered as 1,2,3,4 etc
so to run the application on CPU 2 and CPU 4, enter: "-a 2,4"

-c Copy the program (command)to the remote system for execution.
-c -f Copy even if the file already exists on the remote system.
-c -v Copy only if the file is a higher version or is newer than the remote copy.

If you omit the -c option then the application must be in the system path on the remote system.

-d Don't wait for the application to terminate.
Only use for non-interactive applications.

-e Load the user account's profile, don't use with the system account (-s)

-i Interactive - Run the program so that it interacts with the desktop on the remote system.

-l Limited - Run process as limited user. Only allow privs assigned to the Users group.

-n s Specify a timeout s seconds for connecting to the remote computer.

-p psswd Specify a password for user (optional). Passed as clear text.
If omitted, you will be prompted to enter a hidden password.

-s Run remote process in the System account.

-u user Specify a user name for login to remote computer(optional).

-w directory Set the working directory of the process (relative to the remote computer).

-x Display the UI on the Winlogon desktop (local system only).

-low, -belownormal, -abovenormal, -high or -realtime
These options will run the process at a different priority.

Psexec can also be used to start GUI applications, but in that case the GUI will appear on the remote machine.

Input is passed to the remote system when you press the enter key - typing Ctrl-C will terminate the remote process.

When you specify a username the remote process will execute in that account, and will have access to that account's network resources.

If you omit username the remote process will run in the same account from which you execute PsExec, but because the remote process is impersonating it will not have access to network resources on the remote system.

PsExec does not require you to be an administrator of the local filesystem this can allow UserA to run commands as UserB - a Runas replacement.

Surround any long filenames "with quotation marks"

Examples:

Launch an interactive command prompt on \\workstation64:

psexec \\workstation64 cmd

Execute IpConfig on the remote system, and display the output locally:

psexec \\workstation64 ipconfig /all

Copy the program test.exe to the remote system and execute it interactively:

psexec \\workstation64 -c test.exe

Execute a program that is already installed on the remote system:

psexec \\workstation64 "c:\Program Files\test.exe"

Run Internet Explorer on the local machine but with limited-user privileges:

psexec -l -d "c:\program files\internet explorer\iexplore.exe"

RUNAS

Execute a program under a different user account.

Syntax
      RUNAS [/profile] [/env] [/netonly] /user:user Program

Key
   /profile   Option to load the user's profile (registry)
   /env       Use current environment instead of user's.
   /netonly   Use the credentials specified only for remote connections.
   /user      Username in form USER@DOMAIN or DOMAIN\USER
              (USER@DOMAIN is not compatible with /netonly)
   Program    The command to execute

Enter the password when prompted.

When you start a program with RunAs /netonly, the program will execute on your local computer as the user you are currently logged on as, but any connections to other computers on the network will be made using the user account specified.

Without /netonly everything will run under the user account specified.

RunAs from Windows Explorer
Select an executable file, Shift-Right-click and select Run As..
This option can be hidden by setting
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HideRunAsVerb=1

ErrorLevel
The error level (%ERRORLEVEL%) returned by RunAs in Windows XP and above: success=0, failure=1

Examples

   Runas /user:SCOT_DOMAIN\jDoe "mycommand.exe"

   Runas /profile /user:mymachine\administrator CMD

   Runas /profile /env /user:SCOT_DOMAIN\administrator NOTEPAD

   Runas /env /user:jDoe@swest.ss64.com "NOTEPAD \"my file.txt\""

RunAs Reqires the "Secondary Logon" service to be running.

“He who reigns within himself, and rules passions, desires, and fears, is more than a king” - Milton

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Posted by 날으는물고기