Monthly Jack2

올해 10월 초, 한글 문서를 이용하는 악성코드 프로파일링 관련 주제로 VB2018에서 발표한 DOKKAEBI (Documents of Korean and Evil Binary) 슬라이드가 공개되었습니다. 발표를 듣지 못한 많은 연구원들에게도 도움이 되었으면 싶어서, 다음과 같이 발표 내용 전체를 공개합니다. ^^ The DOKKAEBI slide released by VB2018 has been released. I hope that it...

1) DLL (dynamic-link library) 2) Exported fucntion 3) How to call exported function?DllMainDLLRegisterServerServiceMainExport Name4) How do analysis DLL in cuckoo?dll.pyDefault optionDllMainCheck Export name in DLLExport NameReferencesCopyright 2018. (...

VBS to Javascript TABLE크롬에서 제공하는 개발자도구를 이용하여 바로 결과를 확인 가능VBScript 로 되어 있는 난독화 된 원본코드를 JavaScript 형식으로 변환하여 사용함수 및 변수 기능VBScriptJavaScript8진수&o[8진수]&0[8진수]16진수&h[16진수]&0x[16진수]8/10/16 진수로 되어 있는 숫자에 해당하는 문자(char) 반환chr()String.fromCharCode()인덱스 번호에 해당하는 ...

[References]https://github.com/intezer/linux-explorer 0) 개요 Python & Flask 기반의 리눅스 엔트포인트 라이브 포렌식 도구1) 기능ps전체 프로세스 목록 확인프로레스 메모리 맵 확인 및 메모리 문자열을 쉽게 가져오기원클릭 메모리 덤프자동으로 공개된 서비스에 해시 검색VirusTotal / AlienVault OTX / MalShareusers사용자 목록find이름 및 정규식에 의한 의심스러운...

0) 개요Hollow 란? 구멍오목한 것텅빈오목한 간단 설명 [1]Process Hollowing 기법은 최근 악성코드에서 사용되는 흔한 기술로정상적인 프로세스를 생성하고 해당 프로세스에 악성PE 데이터를 삽입하여 실행SUSPEND 모드로 정상적인 프로세스를 생성PROCESS REPLACEMENTRUNPE 동작 방식 [2]CreateProcess / OpenProcessSuspendWriteProcessMemoryResumeThread 1) ...