Mad code hook Injection Driver (mchInjDrv)

Mad code hook Injection Driver 는 API 후킹을 쉽게 지원해주기 때문에 다양한 프로그램에서 이용할 수 있다. 이 드라이버는 '키로거'나 '패스워드 스틸러' 같은 스파이웨어 종류에서도 이용할 수 있는 반면에 시스템 관리 프로그램과 같이 정상적인 목적으로도 이용될 수 있다. [ 서비스 ] 서비스 이름 : mchInjDrv [ 내부 문자열 ] 00004022 00404C22 0 madTypes 000040B7 00404CB7 0 MadException 000056BB 004062BB 0 madTools 000061C8 00406DC8 0 madDisAsm 00008ED0 00409AD0 0 madRemote 0000C1D6 0040CDD6 0 madCodeHook 0000DC18 00..
보안/악성코드 2008. 10. 14. 10:02
주요 분석 도구

보호되어 있는 글입니다.
보호글 2008. 9. 9. 15:50
Windows loader does it differently [from opcode0x90.wordpress.com]

You think what documented on Microsoft website is exactly how the Windows loader works? Think again. In this blog I will crash your disassembler/debugger by modifying some fields in the PE header. IMAGE_FILE_HEADER.NumberOfRvaAndSizes In pecoff_v8.doc it says NumberOfRvaAndSizes contains the number of data directories we have. But Windows loader just ignores it when you have a value larger than ..
보안/분석 2008. 7. 31. 15:05
Unpacking ASPack 2.12 [from korupt.wordpress.com]

Hi all. ASPack 2.12 is a fairly good packer, be it a good one(70% compression ratio), but that’s all it really is, a packer, thus it’s protection level is weak to say the least… And for that reason I give it a level of beginner :P. Nonetheless it may interest some of you, so let’s get started… Packer: ASPack 2.12 -> Alexey Solodovnikov. Target: It doesn’t matter. Level: Beginner. Tools: PEiD. Im..
보안/분석 2008. 7. 31. 11:38
An in depth analysis of ASProtect 2.22 [ from CodeBreakers]

The name ASProtect sends shivers the spine to any want to be reverse engineer. Every time a new version comes out, new tricks follow. My target is Notepad.exe and I have packed it with ASProtect 2.22 demo version. This version of ASPR has advanced import protection. Let’s begin to tackle it. DISCLAIMER: THIS ARTICLE IS INTENDED FOR EDUCATIONAL PURPOSES ONLY! I DON’T BEAR ANY CONSEQUENCES FOR YOU..
보안/분석 2008. 7. 31. 11:34
CreateMutex Function

Creates or opens a named or unnamed mutex object. To specify an access mask for the object, use the CreateMutexEx function. 파라메터 설정을 통해 하나의 뮤텍스를 동일한 데이터 및 코드에 접근하는 프로세스들이 공유할 수 있다. Syntax HANDLE WINAPI CreateMutex( __in_opt LPSECURITY_ATTRIBUTES lpMutexAttributes, __in BOOL bInitialOwner, __in_opt LPCTSTR lpName ); lpName 항목에 대해서 동일한 이름을 이용하게 되면, 여러 프로세스들이 동일한 크리티컬 섹션 (Critical Section) 에 대해 접근이..
보안/분석 2008. 7. 1. 11:54
악성코드 여부를 확인하는 방법 >> 온 세상의 AV 업체를 통해 진단해봐~

개인 사용자들 중에는 컴퓨터에 익숙치 않아서 악성코드의 종류에 대해서 구분을 짓지 못하는 부류가 대부분이며, 영세 개인 사용자들은 하나의 AV(Anti-Virus) 프로그램도 구입하기 힘들기 때문에 주변 사람들과 공유를 하게 마련이다. 그렇기 때문에 설사 신종 바이러스나 스파이웨어에 피해를 입어도 AV 업체에 직접 의뢰를 하기 어려우며, 분석 의뢰 및 신고를 통해 이루어지는 샘플 접수가 활발하지 못한 연유가 이것이다. 일부의 제품 구매 사용자들이 접수하는 샘플 만으로는 AV 업체들이 악성 코드에 실시간으로 대응하기가 어렵기 때문에 AV 업체들 사이에는 서로 접수된 샘플을 공유하는 프로토콜을 갖고 있으며, 일부의 통합 AV 진단 홈페이지들을 통해 샘플을 공유하기도 한다. 이러한 사이트들은 주로 사용자가 올..
보안/일반 2008. 6. 5. 13:55
[Note] KeyBoard 메시지 전달 순서

웹에 누가 올려놓았다. 키보드 입력 -> 키보드 인터럽트 핸들러 -> WH_KEYBOARD_LL -> WH_KEYBOARD -> Message 아직은 '핑' 하고 이해가 되지 않지만, 우선 적어 놓는다.
보안/분석 2008. 5. 29. 15:29
OllyDbg 167 Plugins 2008-05-24 (without update package)

OllyDbg 167 Plugins 2008-05-24 (plus update package) May 24, 2008 알려진 대다수의 OllyDBG Plug-ins를 공유합니다. 파일은 6 개로 이루어져 있습니다. ## List ## [addr2fileoffset] [AdvancedOlly 1.12] [AdvancedOlly v1.25] [AdvancedOlly v1.26 beta 10] [AdvancedOlly v1.26 beta 12] [AdvancedOlly v1.26 beta 8] [AdvancedOlly v1.26 beta 9] [Analyze This v0.1] [AntiAsprotect v1.2x] [AntiDetectOlly v2.2.4] [APIBreak] [ApiBreak Nonameo..
보안/악성코드 2008. 5. 25. 21:28
NullSoft Installer Components 참고 사이트

http://nsis.sourceforge.net/ >> NullSoft Installer SourceForge 프로젝트 사이트이다. >> 지금까지 혼동 스러웠던 NIS 에 대한 정리를 위해 참고해야할 사이트... Ex) InstallOptions.DLL , KillSelf.DLL , SelfDel.DLL 등
보안/악성코드 2008. 5. 22. 20:24
1 ··· 9 10 11 12 13 14 15 ··· 22
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2025/01   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
글 보관함