Oulth의 자료창고

static 한 방식으로 취약점을 찾는 전략은 strcpy, strcat 같은 안전하지 않는 c/c++ 라이브럴 함수들 근처에 있는 코드를 찾는 방법이다. 또는 부호와 관련된 취약점을 찾기 위해 movsx 명령어를 디스어셈블리에서 검색할 수 있다. 추약한 코드 위치를 찾았담ㄴ 그 코드로부터 역추적하면서 app의 엔트리 포인트에서 접근 가능한 취약점을 노출하고 있는지 살펴본다. 퍼징이라는 방법도 있다. 자신만의 퍼징 프레임 네트워크를 개발해서 대부분의 버그를 퍼징 툴로 찾아내는 사냥꾼들도 있다. 복잡한 프로그램이 주어졌을 때 데이터가 전달되는 시작점을 찾기란 쉽지 않겠지만 복잡한 소프트웨어는 망가진 입력 데이터를 처리할 때 충돌이 일어난ㄷ. 웹브라우저, 오피스 제품군이 그렇다. 즉 파싱하는 소프트웨러들이다..

한국어로된 Inline Function Hook Rookit 자료가 없더군요! 그래서 한 번 복습겸 올려보려고 합니다. Inline Function Hook 은 기존의 System Call Hooking보다 한 단계 진화된 방식입니다. 이 System Call Hooking으로 만든 루트킷의 단점은 System Call Table 을 원본과 비교하면 변경된 System Call 부분을 전부 들킨다는 점에 있습니다. 이에 비해 이 Inline Fucntion Rootkit은 테이블을 변경하지 않고 후킹을 합니다. 자세한 원리는 예제 프로그램을 통해 차차 설명드리겠습니다. 참고한 자료는 : http://turbochaos.blogspot.kr/2013/10/writing-linux-rootkits-201-2..

LKM 백도어, 루트킷의 특징 유저모드 리눅스 시스템 백도어는 침입자가 패스워드 없이 재차 접근할 수 있도록 비밀리에 설치하게 되는데 유저모드에서 작동하기 때문에 tripwire, md5 를 이용한 파일 무결성 검사 프로그램으로 탐지가 가능하다. 이 때 이러한 파일 무결성 검사를 우회하기 위한 방법이 바로 LKM 백도어이다. 이러한 일이 가능한 이유는 LKM(Localable Kernel Module) 즉 커널 부분을 건드리기 때문이다. LKM 백도어 종류 LKM 백도어는 탐지가 아주 어려운 백도어인데(물론 잘 설계했다는 가정하에) 이 중에서 커널 모듈을 추가하는 방식을 많이 사용한다. 시스템 콜 테이블을 수정해서 후킹하는 방식이 있었고 예를 들어서 사용자가 ls 라는 명령어를 입력했다면 이 때 open..