Image Image Image Image Image Image Image Image Image Image

NURILAB | April 22, 2019

Scroll to top

Top

Blog

OLE 파일 구조 : 기초 (동영상 포함)

2014년 3월 27일 |

SecurityPlus의 박형근 부장님의 두번째 호출로 SecurityPlus Open Study를 맡게 되었습니다. 이전에 PDF 강의를 통해 많은 분들께서 PDF 분석에 도움이 되었다는 이메일을 받으면서 나름 뿌듯한 마음이 들었습니다. 이번에는 한글(HWP) 취약점을 이용한 악성코드는 물론 MS 오피스의 악성코드를 분석함에 있어 꼭 필요한 OLE … Read More

보안을 위한 강력한 파이썬 스크립트 언어 (동영상 포함)

2014년 2월 3일 |

2013년 12월 19일에 있었던 제40회 SW공학 테크니컬 세미나의 주제는 ‘파이썬(Python)’이었습니다. 여기에서 누리랩 최원혁 대표는 ‘보안을 위한 강력한 파이썬(Python) 스크립트 언어’ 라는 주제로 키콤백신(KicomAV)에 대해서 설명하고 있습니다.

기업의 복잡한 보안을 관리자 입장에서 수동적 형태가 아닌 능동적 형태로 대처 … Read More

Class.dex 파일 포맷 (3)

2014년 1월 14일 |

(이미지 출처 : http://dsgwords.blogspot.kr/2013/03/android-runtime-class-loading.html)

이 내용은 2편에 이어서 계속 됩니다.

(5) Field IDs

Field의 정보 역시 헤더에 시작 위치와 개수가 저장되어 있다.

12print hdr[’field_ids_size’]      # 전체 Field 정보 개수 print hex(hdr[’field_ids_off’])  # 전체 Field 정보의 시작 위치

[실행결과]

Read More

Class.dex 파일 포맷 (2)

2014년 1월 12일 |

(이미지 출처 : http://dsgwords.blogspot.kr/2013/03/android-runtime-class-loading.html)

이 내용은 1편에 이어서 계속 됩니다.

(3) Type IDs

다음은 class.dex가 보유하고 있는 type들이다. 이 역시 헤더에 type 정보의 시작 위치와 개수가 저장되어 있다.

12print hdr[’type_ids_size’]      # 전체 Type 정보 개수 print hex(hdr[’type_ids_off’])  # … Read More

Class.dex 파일 포맷 (1)

2014년 1월 9일 |

(이미지 출처 : http://dsgwords.blogspot.kr/2013/03/android-runtime-class-loading.html)

1. Class.dex 파일

APK 내부에는 class.dex 파일이 존재한다. 이는 안드로이드에서는 실행 파일에 속하는 파일이다.

123456789import mmap fp = open(’classes.dex’, ‘rb’) mm = mmap.mmap(fp.fileno(), 0, access=mmap.ACCESS_READ) #——————————————————————— # TEST #——————————————————————— print mm

[실행결과]

<mmap.mmap object at 0x032ECF20> … Read More

HwpScan2 플러그인 제작 방법

2013년 12월 6일 |

개요

HwpScan2는 한글 취약점 스캐너 도구로 기본적으로는 한글 파일 포맷(HWP) 5포맷인 OLE 구조 내부의 Body Text 스토리지에 존재하는 Section 스트림을 대상으로 TagID의 유효성을 판단하도록 설계되어 있다. 하지만, 이것만으로는 한글 취약점을 모두 진단한다고는 말하기 힘들다. 즉, HwpScan2도 지속적으로 새로운 취약점에 대응하기 … Read More

PDF 내부의 자바스크립트 분석법 (동적 디버깅)

2013년 11월 28일 |

PDF 악성코드를 분석하다 보면 자바스크립트로 구성된 경우가 대부분이다. 하지만, 자바스크립트는 난독화 등으로 상당히 복잡하게 구성을 해 놓은 경우가 많다. 또한 app으로 시작하는 Acrobat 전용 자바스크립트 객체를 볼 수 있는데 이로 인해 우리는 PDF에서 분리한 자바스크립트를 실행해볼 수 없게 된다. 제일 … Read More

PDF 구조 및 악성코드 분석 (동영상 포함)

2013년 11월 22일 |

ISACA 세미나 모임에서 SecurityPlus의 박형근 부장님께서 학생들에 대한 재능 기부 강의 요청를 저에게 하셨습니다. 당시 SecurityPlus에 대해서는 알고 있었지만 구체적으로 어떤 활동을 하는지는 자세히 몰랐기에 망설이기도 했으나 대학생들을 대상으로 하는 정보보호에 관심있는 사람에게 다양한 정보보호 관련 강의를 해오시는 것을 간간이 … Read More

바이러스토탈을 내 마음대로…

2013년 10월 29일 |

개요

바이러스토탈은 누구나 쉽게 전세계의 다양한 Anti-Virus 제품을 온라인에서 쉽게 검사할 수 있는 서비스이다. 바이러스토탈은 오픈 API 서비스를 제공하고 있는데 이를 이용하면 온라인 Anti-Virus를 쉽게 만들 수 있다. 이 문서에서는 바이러스토탈 API를 이용하여 악성코드 분석하는데 도움이 되는 형태의 스크립트를 만들어 … Read More

PDF 취약점 분석 방법

2013년 10월 10일 |

개요

APT 공격에 있어 아래아한글 취약점 공격에 이어 가장 많은 취약점 공격이 PDF를 이용한 공격이다. PDF(Portable Document Format) 파일은 어도비 시스템즈에서 개발한 전자 문서 형식이다. 컴퓨터 환경에 관계없이 같은 표현을 하기 위한 목적으로 개발되었으며 장치 독립성 및 해상도 독립성을 가지고 … Read More