티스토리 뷰
외국 멀웨어 분석가들의 블로그를 돌아다니던 중에 재미난 기사를 봐서 공유합니다.
구체적인 위치는 아래의 주소입니다.
http://zairon.wordpress.com/2007/08/31/find-out-hidden-files-comparing-vmwares-snapshots/
기사에서 zairon 은 다음과 같은 말을 합니다.
"I decided to write a simple application able to compare two files string to string."
즉, vmware 스냅샷의 전체 이미지를 비교하지 않고, 메모리 스냅샷 만 비교하는, 그 중에서도 내부에 있는 문자열만 비교를 하는 메커니즘입니다.
실제로 vmware 스냅샷은 매 이미지마다 수백MB 크기를 갖고 있기 때문에 바이너리 비교는 매우 큰 오버헤드가 있습니다. 그래서 저자는 단순 문자열 비교를 채택한 것으로 생각됩니다.
실제 실행한 결과는 아래의 이미지와 같습니다.
구체적인 위치는 아래의 주소입니다.
http://zairon.wordpress.com/2007/08/31/find-out-hidden-files-comparing-vmwares-snapshots/
기사에서 zairon 은 다음과 같은 말을 합니다.
"I decided to write a simple application able to compare two files string to string."
즉, vmware 스냅샷의 전체 이미지를 비교하지 않고, 메모리 스냅샷 만 비교하는, 그 중에서도 내부에 있는 문자열만 비교를 하는 메커니즘입니다.
실제로 vmware 스냅샷은 매 이미지마다 수백MB 크기를 갖고 있기 때문에 바이너리 비교는 매우 큰 오버헤드가 있습니다. 그래서 저자는 단순 문자열 비교를 채택한 것으로 생각됩니다.
실제 실행한 결과는 아래의 이미지와 같습니다.
해당 프로그램을 아직 이용해보지 않아서
과연 루트킷으로 숨겨진 정보에 대해서도 효과가 있는지는 아직 모르겠다.
나 역시 전부터 생각해오던 vmware 스냅샷 비교에 대해서 실제 엄두를 못내고 있었는데
이렇게 실제로 구현해놓은 사람을 보니 세상은 참 넓다는 생각이 든다.
'보안 > 분석' 카테고리의 다른 글
| DLL이 등록되는 윈도우 시작 항목 - http://www.browsersentinel.com/help/startup-modules.htm (0) | 2009.02.24 |
|---|---|
| HijackThis #1 (0) | 2008.12.28 |
| Windows loader does it differently [from opcode0x90.wordpress.com] (0) | 2008.07.31 |
| Unpacking ASPack 2.12 [from korupt.wordpress.com] (1) | 2008.07.31 |
| An in depth analysis of ASProtect 2.22 [ from CodeBreakers] (0) | 2008.07.31 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
- 지루박멸연구센타
- 열정의 힘을 믿는다
- Le4rN TO Cr4cK
- 디버깅에관한모든것(DebugLab)
- sysinternals
- FoundStone
- hashtab
- 보안-coderant
- 디바이스드라이버 개발자 포럼
- dualpage.muz.ro
- osronline.com - 드라이버 관련 정보 사이트
- NtInternals - NativeAPI Refere…
- pcthreat - spyware 정보 제공
- rootkit.com - 루트킷 관련 정보
- www.ntinternals.net
- WINE CrossRef. - source.winehq…
- tuts4you
- hex-rays
- idapalace
- idefense
- immunityinc
- threatexpert
- hdp.null2root.org
- www.crackstore.com
- crackmes.de
- www.who.is
- www.cracklab.ru
- community.reverse-engineering.…
- video.reverse-engineering.net
- SnD
- 클레이 키위
- reversengineering.wordpress.co…
- www.openrce.org
- www.woodmann.com
- PEID.Plusins.BobSoft
- roxik.com/pictaps/
- regexlib.com
- spyware-browser.com
- www.usboffice.kr
- regulator
- www.txt2re.com
- ietab.mozdev.org
- zesrever.xstone.org
- www.heaventools.com/PE-file-he…
- www.heaventools.com
- www.innomp3.com
- 울지않는벌새
- exetools.com-forum
- exetools.com
- utf8 conv
- robtex - IP trace
- onsamehost - same IP sites
- JpopSuki
- jsunpack.jeek.org
- wepawet.iseclab.org
- www.jswiff.com
- www.hackeroo.com
- winesearcher.co.kr
- khpga.org
- malwareurl.com
- anubis.iseclab.org
- www.crummy.com-eautifulSoup
- malwarebytes.org/forums
- bbs.janmeng.com
- blackip.ustc.edu.cn
- eureka.cyber-ta.org
- exploit-db.com
TAG
- hai
- 실시간트래이딩
- 피봇
- systemd
- logrotate
- Pivot
- SBI저축은행
- 주택구매력지수
- 미국주식
- ubuntu
- 레고랜드
- INVOICE
- 매매가격지수
- CriticalSection
- 군함도
- 맥쿼리인프라
- 자동트래이딩
- ElasticSearch
- 시스템트래이딩
- ROA
- 신한저축은행
- 주식
- ChatGPT
- 전세매매지수
- PIR
- 다올저축은행
- 사회간접자본
- 주식트래이딩
- 공공인프라
- O365
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함