일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 |
- CodeEngn Basic 5
- CodeEngn
- bob
- 코드엔진 basic 5
- codeengn basic rce 01
- 코드엔진 베이직
- 사회분업론
- 논문리뷰
- 코드엔진
- 자살론
- 에밀 뒤르켐
- BoB 12기 최종합격 후기
- BoB 12기
- 사회적 사실
- 철학
- h4ckinggame
- 디지털 포렌식 트랙
- 리버싱
- Best of the Best
- CodeEngn Basic 01
- malware
- Today
- Total
목록2024/04/01 (2)
woonadz :)
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/yWmws/btsGe6zJk5W/WQnI826RbKx0LB9NWJZwl1/img.png)
PEB 구조체 내의 NtGlobalFlag 위치 32비트 : 0x68 offset 64비트 : 0xBC offset NtGlobalFlag 값 Default 값 : 0 디버거에 의해 프로세스가 생성된 경우 FLG_HEAP_ENABLE_TAIL_CHECK (0x10) FLG_HEAP_ENABLE_FREE_CHECK (0x20) FLG_HEAP_VALIDATE_PARAMETERS (0x40) LockBit 2.0에서의 NtGlobalFlag 사용법 NtGlobalFlag 값과 0x70 값을 and 연산하여 현재 프로세스가 디버깅 중인지 확인 => 디버깅 중이라면 무한루프 생성 DLL을 동적으로 로드하기 이전에 안티 디버깅 기술로 분석 방해
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/boJZs1/btsGeyWv8hW/cXYRckl05lAjWIHaAanhk0/img.png)
덤프된 환경이 아닌 실시간 환경이므로 비휘발성 데이터 수집을 통해 풀이 “로그인 할 때 마다 네트워크 데이터에 민감한 로그인 정보가 유출” ⇒ 로그온 관련 아티팩트 수집 crontab, /var/run, /etc/service, /etc/init.d 등의 스케줄링 관련 아티팩트 X 로그인 시에 발생하는 네트워크 패킷 분석 tcpdump를 뜨면 특정 경로로 불필요한 패킷이 너무 많이 보였습니다. 침해 PC 경로에서 시작하고, 175.117.153.116으로 도착하지 않도록 필터링을 걸어 확인해주었습니다. 다른 터미널에서 로그인을 했을 때 발생하는 패킷을 보면, 123.45.67.89의 경로로 사용자의 로그인 비밀번호가 전송되는 것을 확인할 수 있습니다. 처음에는 root 내의 모든 폴더를 대상으로 키워드 ..