모해요

컴퓨터의 내부는 네트워크 카드, cpu, 메모리, 하드디스크, 메인보드…디바이스들은 i/o 버스로 연결되어 있다. (isa, pci, eisa, scsi…) 이거 씨피유랑 vga, 이더넷, 사운드 등등 이런걸 연결한다는거그리고 접속 방식도 다양하다!!i/o 디바이스 내부를 보면 controller, logic, register set, bus interface로 구성되어있다.그래서 cpu가 하드웨어 디바이스에 어떤 값을 주면 하드웨어는 그 로직을 보고 동작한다. 새 디바이스 꽂으면? 인식후에 필요한 드라이버를 설치한다,, 인식해줘야되니까디바이스 제어어떻게 cpu가 디바이스를 제어할까… cpu는 버스를 통해서 register address를 보낸다. 이 주소 공간은 각 디바이스에 할당 되어있는거고 디바이스..

리버스 코드 엔지니어리버싱 도구 종류disassemblerdebugger - PE, script...development tool - assembly, c/c++ ...editor(viewer) - text, hex, resource, registry, string, PE ...monitoring tool - process, file, registry, network, message ...memory dumpclassifiercalculator - hex, binarycompare tool - text, hexpacker/unpackerencoder/decodervirtual machinedecompiler - C, VB, Delphi ...emulator 좋은 분석 도구 선택의 다섯 가지 기준도구 개수..

후킹 대상 API 후킹 대상이 되는 API는 주로 프로세스의 동작을 제어하거나 모니터링하는 데 사용됨. 예를 들어, wininet.dll의 InternetConnectW() API는 인터넷 연결을 설정하는 데 사용되며, 이를 후킹함으로써 특정 사이트로의 접속을 가로채거나 리디렉션할 수 있음. 또한, ntdll.dll의 ZwResumeThread()는 스레드를 재개하는 함수로, 이를 후킹하여 프로세스의 실행 흐름을 제어하거나 악성 스레드의 행동을 조작할 수 있음. 이러한 API 후킹을 통해 특정 웹사이트 접속을 차단하거나 리디렉션하고, 접속 관련 정보를 수집하는 등의 작업을 할 수 있음. IE 접속 제어의 경우, wininet.dll의 InternetConnectW()와 ntdll.dll의 ZwResume..

API코드 패치는 프로세스 메모리에 로딩된 라이브러리 이미지에서 후킹을원하는 API 코드 자체를 수정하는 방법API코드 패치는 프로세스 메모리에 로딩된 라이브러리 이미지에서 후킹을원하는 API 코드 자체를 수정하는 방법임API 후킹에서 가장 널리 사용되는 방법 왤까.. 대부분의 API를 후킹할 수 있으니까  API 후킹과 프로세스 은닉API 후킹의 기본API 후킹은 시스템 API 호출을 가로채 동작을 변조하거나 데이터를 필터링하는 기술이다.운영 체제는 API를 통해 시스템 정보를 제공하며, 후킹 기술을 사용하면 이러한 정보의 결과를 조작할 수 있다.ZwQuerySystemInformation API 후킹ZwQuerySystemInformation API는 시스템의 프로세스 정보를 반환하는 데 사용되는 대..