[강좌] UCS2를 Hex로 변환해보자!!
- 분석해보까?
- 2009. 8. 3. 13:29
반응형
728x90
우선 블로그 방문에 감사의 말씀을 드립니다 ㅎㅎ
별거없지만~ 그래도 변환방법을 하나씩 말씀드리겠습니다.
< 준비물>
- Malzilla : http://malzilla.sourceforge.net/downloads.html
- OllyDbg : http://www.ollydbg.de
- UltraEdit
- Malzilla : http://malzilla.sourceforge.net/downloads.html
- OllyDbg : http://www.ollydbg.de
- UltraEdit
1. 우선 파일을 UltraEdit로 오픈합니다.
파일을 오픈하면 다음과 같은 Script를 확인 할 수 있습니다.
var 부터 ~ (p); 까지 복사합니다.
2. 복사 한 부분을 Malzilla의 Decoder 부분에 붙여넣기 합니다.
그다음 Run Script를 클릭 합니다.
3. Run Script를 클릭하면 eval에 대한 디코딩값을 2개로 나눠서 표시 됩니다.
이 중 2번째를 더블클릭 합니다.
4. 그럼 Malzilla의 하단부분에 ShellCode로 판단되는 부분이 생겼습니다.
이 부분을 다시 복사합니다.
5. 복사 된 의심스러운 ShellCode를 Misc Decoders탭으로 이동 후 붙여넣습니다.
그 후 UCS2 to Hex 를 클릭합니다.
6. 이제 의심스러웠던 ShellCode가 Hex값으로 변환되었습니다.
이 부분을 다시 복사합니다.
7. 복사 된 Hex을 값을 Shellcode analyzer 탭으로 이동하여 붙여넣기 합니다.
붙여넣기 할 시에는 반드시 "Paste as hex" 로 우측버튼을 이용하세요.
경험 상 맨 하단에 URL주소로 의심스러운 부분이 있습니다.
그런데 정상적인 주소가 아니네요~ 따라서 복호화를 위한 암호키가 있어 보이네요!!
다시 6번으로 이동합니다.
이 Hex값을 가지고 복호화키를 찾아야 합니다.
Hex값을 Olludbg를 이용하여 돌려보겠습니다.
그럼 XOR을 21로 변환하고 밑에 LOOPD 가 있는것으로 보아 21이 암호키인듯 합니다.
(이 방법은 제가 쓰는 방법이고, FileInsigt나 Hexplorer를 이용하여도 무방합니다)
8. 그럼 21을 XOR에 넣고 밑에 XOR버튼을 클릭 합니다.
그럼 Hex값이 변경되었네요. 변경 된 Hex를 다시 복사합니다.
9. 마찬가지로 Shellcode analyzer 탭으로 이동하여 Paste as hex로 붙어넣습니다.
그럼 다음과 같은 주소가 보이네요^^ 빙고!!
최대한 간단하게 설명을 하였습니다.
이렇게 몇개의 Tool만 사용하면 쉽게 디코딩 할 수 있습니다.
하지만, 디코딩을 이용해서 URL만 확인한다고 하여 취약점을 분석하였다. 라고 할 순 없겠죠^^?
URL에서 멈추지 말고~ 이런 취약점이 어떻게 동작하고 어떠한 부분을 이용하여 이 URL이 작동 할까?
머 이런 생각을 한번씩이라도 해보시는게 좋을 듯 합니다^^
차후 궁금한 점이 있으시면 리플로 달아주시고^-^
앞으로 궁금한점에 대해서는 [강좌]의 이름을 달고 조금씩이나마 풀어 보도록 하겠습니다.
'분석해보까?' 카테고리의 다른 글
[Ollydbg]올리디버거 버그(Float 처리 실패) (0) | 2009.12.03 |
---|---|
[정보보호21C]3부 웹 서버 해킹을 통한 악성코드 대량 배포 유행 (2) | 2009.09.10 |
[강좌] UCS2를 Hex로 변환해보자!! (6) | 2009.08.03 |
[정보보호21C]1부 사람의 심리를 이용하여 설치하게 하는 악성코드 Waledac (0) | 2009.07.21 |
[정보보호21C]2부 메신저로 전파되는 악성코드의 실체 (4) | 2009.07.21 |
[PDF 취약점] Adobe Reader Javascript Printf Buffer Overflow Exploit (4) | 2009.03.11 |
-
물여우2009.08.03 15:00
00 님이 누구인지 감이 옵니다. ㅎㅎ 좋은 정보 감사합니다. ^^
-
2009.08.03 15:05 신고
참고로 세의님에게 이정도는 껌입니다 ㅋㅋ
-
-
알 수 없는 사용자2009.08.03 18:41
으하하.. 유명(?)해 진건가요 ㅋㅋㅋ
좋은 강좌 감사합니다. 많이 배웠네요..
그 동안 PDF 분석 관련 툴이랑 말질라랑 올리 썼던게 다 이어지네요.
흐흐흐.. 좀 더 어려운 놈에 도전해 봐야겠습니다.-
2009.08.03 21:43 신고
이런 pdf는 난이도가 낮은편이니^^ 좀더 높은 스킬이 필요한 pdf등을 많이 연습해보시는 것도 좋습니다.
-
-
2009.08.03 19:46 신고
감사합니다 (+__)ㅋㅋ
이거.. 이틀전인가.. 누구누구..분들께서 열씸히 카페 채팅창에서 수다를 떠시던 내용인..거 같기도? =ㅁ=ㅋㅋ
어쨌던 모르던 내용!! 감사요 '-'/-
2009.08.03 21:44 신고
그런가요^^?
요즘 카페에 들어간지가 너무 오래되서 ㅠ.ㅠ
-