CoInzBlog

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through forged magic byte. AUTHOR: Andrey Bayora (www.securityelf.org) For more details, screenshots and examples please read my article "The Magic of magic byte" at www.securityelf.org . In addition, you will find a sample “triple headed” program which has 3 different 'execution entry points', depending on the extension of the ..

The Magic of magic byte. by Andrey Bayora www.securityelf.org INTRODUCTION by Wayne Langlois (www.diamondcs.com.au) When an antivirus (or similar) scanner opens a file to scan it must first determine the type of file ("is it an executable? is it an audio file?", etc). This is important as it increases scan speed - certain irrelevant files can be skipped, and only appropriate signatures then need..

드라이버 쪼물딱 거리기 3탄 bkdp3_ssdt_hook.zip fxloader.zip 오늘은 SSDT hooking 입니다. 최근에는 SSDT 에 대한 내용은 정말 인터넷에 많이 널려있습니다. 사실 SSDT 훅에 대한 이야기는 아주 오래된(?) – undocumented windows 2000 secrete 에서 첨 본거 같기도 하고.. - 이야기이긴 합니다. 어떤 해킹을 다루거나 하는 커뮤니티(?)에 보면 뭐 최신의 기법인 것 처럼 이야기 하는 사람도 있긴 하지만 말이지요. 여기서는 실제 SSDT (System Service Descriptor Table) 을 후킹해서 원하는 기능을 구현하는 가장 간단한 형태의 코드를 예제로 보일 것입니다. 요즘은 좀 구식(?) 기술로 취급 받기도 합니다만.. win..

cr0 레지스터를 이용한 Write Protection 제거 컨트롤 레지스터는 현재 수행중인 태스크의 특성과 프로세스의 동작모드를 결정 짓는 특별한 레지스터이다. 32 비트와 32 비트 호환 아키텍쳐에서 이 레지스터들은 32 비트이고, 64 비트에서는 64 비트다. mov CRn 인스트럭션으로 이 레지스터들을 건드릴수 있고.. CR3 레지스터는 페이지 디렉토리를 찾아가기 위한 레지스터이고.. 나머지는.. RTFM! CR0 는 CPU 의 operating mode 와 상태를 제어하는 플래그를 포함하고 있다. 오홋.. ^^ PG, CD 등...중요한 플래그들이 많지만 일단 관심대상은 아니고.. ^^ WP Write Protect (bit 16 of CR0) — Inhibits supervisor-level ..

『 레지스트리 활용 (5) 』 2006/11/03 42 『 레지스트리 활용 (4) 』 2006/11/03 51 『 레지스트리 활용 (3) 』 2006/11/03 34 『 레지스트리 활용 (2) 』 2006/11/03 55 『 레지스트리 활용 (1) 』 2006/11/03 42 『 레지스트리 강좌 (4) 』 2006/11/03 52 『 레지스트리 강좌 (5) 2006/11/03 40 『 레지스트리 강좌 (2) 』 2006/11/03 57 『 레지스트리 강좌 (3) 』 2006/11/03 38 『 레지스트리 강좌 (1) 』 2006/11/03 106

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer HKCU\Software\Microsoft\Win

Windows라는 운영체제가 윈도우 9X시절의 악명 높던 블루스크린에서 나름 많이 진화하여 NT계열의 2000, XP로 오면서 안정성 측면에서 참 많은 발전이 있었던 것이 사실이며 또 이번 Vista에서는 더더욱 강화된 보안 기능 운운 하며 좀 더 안정적이고 좋은 사용 환경을 만드려고 애를 쓰고 있지만서도, 참으로 Windows는 생각지도 못한 헛점이 참 많다.그 생각지도 못한 많은 헛점의 가장 큰 원인 중에 하나를 꼽으라면 난 단연 레지스트리를 꼽겠다.레지스트리의 세계는 알면 알수록 참으로 넓고 지저분하고 원칙없고 오묘하다.'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' 이라는 키에는 꽤 중요한 Value가 두 개 있다.하나는 Shell이라는..

Internet Explorer Development Technical Articles Browser Helper Objects: The Browser the Way You Want It Dino Esposito Microsoft Corporation January 1999 April 9, 2004 security update: Please also see Security Considerations: Programming and Reusing the Browser to learn more about addressing browser security issues. Summary: Describes how to use BHOs to customize your browser. (16 printed pages)..

BHO 란 Browser Helper Object 의 약자로 우리가 많이 사용하는 인터넷 익스플로어를 띄우면 BHO 와 같이 작동이 된다. 즉, 인터넷 익스플로어에 DLL 형태로 같이 낑겨들어가는데 하는 행동은 인터넷 브라우저를 제어할 수 있다. 흔히 생각하면 스파이웨어나 인터넷 돌아당기다가 악성코드가 걸려서 시작페이지가 성인사이트로 바뀌어서 뜬다거나 하는 놈이 이 BHO 의 능력을 악용한 거다. BHO 는 레지스트리에 기록되며 인터넷 익스플로어가 작동될때는 이 레지스트리에 있는 값을 이용 해서 BHO 프로그램을 로딩하고 같이 올라가는데 일단 BHO 가 뜬 상태에서는 BHO 가 전적으로 브라우져를 통제하게 되므로 사용자 개인정보를 훔친다던지 아니면 성인사이트 광고를 한다던지 온갖 잡짓(?)을 다 할 수 ..

IE에서 사용되는 ActiveX의 사용되는 위치.짱귀여운나_오/소프트웨어 2008/01/03 10:15 3년전 학교에서 윈도우 프로그램을 했었습니다. 하드웨어를 만들어서 컨트롤하고, 정보를 받는 수준의 간단한 프로그램을 만들었습니다. 대부분 다이얼로그 베이스 였고, 음성 SDK를 사용하기도 했죠. 윈도우 프로그램을 잘 못해서, 하드웨어에서 전달받은 데이터를 matlab에 로드해서 시뮬레이션을 하기도 했습니다. 좀 더 프로그램 내공을 키우면 시뮬레이션에 도전을 해보겠다고 맘을 먹었었죠. 그런데, 회사에 들어오니 제가 생각한 것과는 다른 작업을 주로 하고 있습니다. Web을 UI로 가지는 프로그램 개발 혹은 Web에서 사용하는 ActiveX를 개발했습니다. 학교 다닐때 ActiveX에 관심이 있어서 기초 베..