CoInzBlog

이 방법은, CommandBar 가 플러그인으로 설치된 Olly 의 경우에 해당된다. 복잡한 방법은 아니고, CommandBar 에서 BreakPoint 를 거는 명령어를 이용하는 것으로 bp LoadLibraryA, STRING[[ESP+4]]=="XXXXX.DLL" 뭐 요딴 식으로 하면 된다. 각 구문의 의미는 아래와 같다. LoadLibraryA 에서 Break가 걸리긴 하는데, ESP+4, 즉 첫번째 파라메터의 값을 읽어 문자열로 변환을 하였을 때 (STRING[]) XXXXX.DLL 이름일 경우 Break 하겠다는 의미이다. 그런데, DLL 이름만 있을 경우에는 상관이 없으나, Full 경로가 들어간 경우는 잘 동작안하는 것으로 보인다. 더 좋은 방법이 생기면 수정 할 예정이다.

아래 글은 DLL 파일 및 SYS 파일을 어떻게 Olly로 unpack 을 할 수 있는지에 대해서 노하우를 제시해 준다. People often ask me how to unpack DLLs and drivers. A common assumption is that it is necessary to use OllyDbg's LOADDLL for unpacking DLLs and that a ring-0 debugger such as SoftICE or WinDbg is necessary for unpacking drivers. With a little tweaking, we can use regular OllyDbg to unpack packed DLLs and even many packed drivers..

개인적인 학습 목적으로 퍼온 글입니다.Startup DLL ModulesThis tab displays startup DLL modules installed on your system. These modules are loaded automatically during Windows startup or later when a particular application starts. What's A Startup DLL Module? Location The Disable Action The Delete Action Properties What's A Startup DLL Module? There're six types of startup modules: 1. ShellExecute Hook: These mo..

참조 : http://blogs.paretologic.com/malwarediaries/index.php/2009/02/11/recycling-is-good-but-not-that-one/ 흠... ㅋㅋ 이런 악성코드도 있군요. 보시면 아시겠지만, 파일 아이콘을 폴더 이미지로 변경하고, 이름은 휴지통 이름, 게다가 확장자와 파일 이름 사이를 다수의 '.'로 연결하여 쉽게 인식을 할 수 없도록 만들었습니다. -> Recycled………………………………………………………exe 역시 추세는 사회 공학적인 기법이 대세인 것 같습니다. E-Mail 을 이용하거나, 메신저를 이용하거나, 이번 케이스 처럼 사람들의 관심을 끌고, 방심을 이끌어내는 방법들 말입니다. 조심하세요~ p.s. 파일은 아직 못구했음.

아래의 정보는 CLSID {2559a1f6-21d7-11d4-bdaf-00c04f60b9f0} 의 용도를 확인하고자 참조로 넣은 것임. 출처 : http://www.tweakxp.com/article36746.aspx Have you used someone's new Hewlet Packard with their OEM version of Windows XP? You've seen that HP has their own icon in the Start Menu, underneath Run, that goes to their Help Site. Now, you can have your icon that does anything you want (website, program, etc) and says an..

Shell Doc Object and Control Library %WINDIR%\system32\shdoclc.dll Shdoclc.dll(Shell Document 개체 및 컨트롤 라이브러리)은 메뉴, 대화 상자 및 문자열 등의 지역화된 항목을 저장하는 데 Internet Explorer에서 사용하는 리소스 전용 라이브러리입니다. Internet Explorer용 다국어 메뉴와 대화 상자를 사용하면 Internet Explorer가 %Program Files%\Internet Explorer\MUI\LCID 폴더에서 Shdoclc.dll을 로드합니다. 예를 들어, 프랑스어 로케일을 사용하면 Shdoclc.dll은 %Program Files%\Internet Explorer\MUI\0409 폴더에서 로..

출처 : 바이러스 제로 시즌 2 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 오후 3:02:51, on 2008-12-27 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Sys..

외국 멀웨어 분석가들의 블로그를 돌아다니던 중에 재미난 기사를 봐서 공유합니다. 구체적인 위치는 아래의 주소입니다. http://zairon.wordpress.com/2007/08/31/find-out-hidden-files-comparing-vmwares-snapshots/ 기사에서 zairon 은 다음과 같은 말을 합니다. "I decided to write a simple application able to compare two files string to string." 즉, vmware 스냅샷의 전체 이미지를 비교하지 않고, 메모리 스냅샷 만 비교하는, 그 중에서도 내부에 있는 문자열만 비교를 하는 메커니즘입니다. 실제로 vmware 스냅샷은 매 이미지마다 수백MB 크기를 갖고 있기 때문에 바이..

1. Serial Solutions Driver for Windows 2000 / XP. 2. 32bit Port Contention Driver - Port Contention Driver - Samsung Electronics Product name: Port Contention Driver Description: 32bit Port Contention Driver Company: Samsung Electronics

윈속의 기능 일부를 담당하는 드라이버 / [ 파일 등록 정보 ] / * 회사 이름 : Microsoft Corporation / * 제품 이름 : Microsoft® Windows® Operating System / * 파일 설명 : Ancillary Function Driver for WinSock