티스토리 뷰
보안/악성코드
sporder.dll - windows platform sdk 에 포함되어 있는 모듈 (WinSock2 reorder service providers)
NineKY 2009. 8. 24. 12:05해당 파일은 PlatformSDK 에 포함되어 있는 모듈로 LSP 설정을 재정렬하는 기능을 한다.
위 그림에서 보듯이 SpOrder.exe 파일과 쌍으로 동작한다고 예상할 수 있다.
SpOrder.exe 를 실행하면 아래와 같은 창을 만날 수 있다.
위 프로그램은 실제 레지스트리 위치
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]
의 값을 파싱해서 보여준다.
각 탭의 위치는 다음과 같다.
Service Providers 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9]
Name Resolution 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
일반적으로 악성 프로그램이 변조하는 LSP 설정은 전자(Service Providers)에 해당된다.
악성 프로그램은 위 그림에서 현재 나오는 ServiceProvider 계층을 변조하는데,
원래의 Provider 를 자신으로 교체하거나, 아니면 중간에 계층을 삽입하여 자신을 경유하도록 한다.
위 그림에서 Up, Down 은 당연히 계층 순서를 변경(ReOrder) 하는 것을 의미하고,
'More'는 각 계층에 대한 자세한 정보를 아래의 그림과 같이 보여준다.
이상.
위 그림에서 보듯이 SpOrder.exe 파일과 쌍으로 동작한다고 예상할 수 있다.
SpOrder.exe 를 실행하면 아래와 같은 창을 만날 수 있다.
위 프로그램은 실제 레지스트리 위치
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]
의 값을 파싱해서 보여준다.
각 탭의 위치는 다음과 같다.
Service Providers 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9]
Name Resolution 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
일반적으로 악성 프로그램이 변조하는 LSP 설정은 전자(Service Providers)에 해당된다.
악성 프로그램은 위 그림에서 현재 나오는 ServiceProvider 계층을 변조하는데,
원래의 Provider 를 자신으로 교체하거나, 아니면 중간에 계층을 삽입하여 자신을 경유하도록 한다.
위 그림에서 Up, Down 은 당연히 계층 순서를 변경(ReOrder) 하는 것을 의미하고,
'More'는 각 계층에 대한 자세한 정보를 아래의 그림과 같이 보여준다.
이상.
'보안 > 악성코드' 카테고리의 다른 글
| yescmp5.ocx, yessign5.ocx - 금결원 공인 인증서 관련 모듈 (0) | 2009.08.27 |
|---|---|
| talkingclubsetup.ocx - 이보영의 talkingclub(www.talkingclub.co.kr) VRS ActiveX 컨트롤(음성녹음 프로그램) (0) | 2009.08.27 |
| 곰플레이어도 제휴 마케팅 시작인가 ? (0) | 2009.08.12 |
| jqs.exe - %PFDIR%\java\jre6\bin\jqs.exe - Java Quick Starter (0) | 2009.08.11 |
| [노트] Malzilla Usage (0) | 2009.08.11 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
- 지루박멸연구센타
- 열정의 힘을 믿는다
- Le4rN TO Cr4cK
- 디버깅에관한모든것(DebugLab)
- sysinternals
- FoundStone
- hashtab
- 보안-coderant
- 디바이스드라이버 개발자 포럼
- dualpage.muz.ro
- osronline.com - 드라이버 관련 정보 사이트
- NtInternals - NativeAPI Refere…
- pcthreat - spyware 정보 제공
- rootkit.com - 루트킷 관련 정보
- www.ntinternals.net
- WINE CrossRef. - source.winehq…
- tuts4you
- hex-rays
- idapalace
- idefense
- immunityinc
- threatexpert
- hdp.null2root.org
- www.crackstore.com
- crackmes.de
- www.who.is
- www.cracklab.ru
- community.reverse-engineering.…
- video.reverse-engineering.net
- SnD
- 클레이 키위
- reversengineering.wordpress.co…
- www.openrce.org
- www.woodmann.com
- PEID.Plusins.BobSoft
- roxik.com/pictaps/
- regexlib.com
- spyware-browser.com
- www.usboffice.kr
- regulator
- www.txt2re.com
- ietab.mozdev.org
- zesrever.xstone.org
- www.heaventools.com/PE-file-he…
- www.heaventools.com
- www.innomp3.com
- 울지않는벌새
- exetools.com-forum
- exetools.com
- utf8 conv
- robtex - IP trace
- onsamehost - same IP sites
- JpopSuki
- jsunpack.jeek.org
- wepawet.iseclab.org
- www.jswiff.com
- www.hackeroo.com
- winesearcher.co.kr
- khpga.org
- malwareurl.com
- anubis.iseclab.org
- www.crummy.com-eautifulSoup
- malwarebytes.org/forums
- bbs.janmeng.com
- blackip.ustc.edu.cn
- eureka.cyber-ta.org
- exploit-db.com
TAG
- 맥쿼리인프라
- 피봇
- 신한저축은행
- 군함도
- hai
- CriticalSection
- 공공인프라
- 주택구매력지수
- 미국주식
- SBI저축은행
- 레고랜드
- 사회간접자본
- Pivot
- 시스템트래이딩
- 전세매매지수
- 다올저축은행
- PIR
- logrotate
- INVOICE
- 자동트래이딩
- 실시간트래이딩
- 주식트래이딩
- ChatGPT
- ROA
- systemd
- ElasticSearch
- ubuntu
- 매매가격지수
- O365
- 주식
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함