www.reversecore.com

- 봉이님 댓글

ㅁㅁ님!
제가 리버싱 공부하면서, 안티리버싱, 악성코드 분석에 관심이 생겨서 인터넷 곳곳 돌아 봤는데요..
안랩 연구원들 분께서 고려대, 서울여대 악성코드 분석 강의를 하시는 것 같더라구요..
관련 강의자료를 구할수 있을까요?
꼭 부탁드립니다.

• reversecore 2010/09/30 19:26 댓글주소 | 수정 | 삭제

  안녕하세요~
  
  ^^ 제 실명을 거론 하셔서 제가 약간 가렸습니다. 양해바랍니다.
  
  강의에 대해서 잘 알고 계시군요?
  
  해당 자료는 수강생 이외에는 비공개 입니다.
  
  참고로 저도 한 섹션을 맡았습니다. ^^

- 봉이님 댓글

core님이 ㅁㅁ님 맞죠?
혹시 core님 이름이 틀렸을수도 있으니, 제가 위에 표현한 ㅁㅁ님은 core님입니다.

• reversecore 2010/09/30 18:45 댓글주소 | 수정 | 삭제

  ^^ 네 제가 그님(?) 맞습니다.
  
  봉이님께서는 혹시 저를 아시는 분인가요?
  너무 친숙하게 물어보셔서요~ ^^
  (비밀 댓글로 답해주시면 됩니다.)

비밀댓글입니다

• reversecore 2010/10/03 23:07 댓글주소 | 수정 | 삭제

  안녕하세요.~
  
  네, 그러셨군요. ^^
  
  리버싱을 공부하고 싶으시다는 열의가 느껴집니다.
  
  죄송하지만 강의 자료를 제공해 드릴 수는 없습니다. (제가 작성한 거라도 불가능합니다.)
  
  그 대신 공부하시다가 막히시는 부분이 있을때 질문 올려 주시면 제 능력껏 답변 달아 드리겠습니다.
  
  감사합니다.

안녕하세요.
처음 인사드리는 김종현입니다.
테스트중 이상한 현상이 있어 문의 드립니다.

아래와 같이 정말 간단한 DLL을 만들어 Injection하였는데
이상하게 iexplore의 자식 프로세스들에서는 ::CreateFile()로
파일이 생성되지 않는데
그 이유가 심히 궁금하고
해결방법에 대하여 고수님들께 조언을 구합니다.

#include "stdafx.h"
#include <stdio.h>
#include <tchar.h>

/////////////////////////////////////////////////////////////////////////////
// _Inject

class _Inject
{
public:
static BOOL IsValidModule(LPCTSTR module_name)
{
static LPCTSTR valid_module_name_list[] =
{
//_T("notepad.exe"),
_T("iexplore.exe"),
NULL
};
for (int i=0; valid_module_name_list[i]; i++)
{
if (!_tcsicmp(module_name, valid_module_name_list[i])) return TRUE;
}
return FALSE;
}
}; //_Inject

static BOOL IsValidCurrentModule()
{
TCHAR full_name[MAX_PATH];
HMODULE module_handle = ::GetModuleHandle(NULL);
::GetModuleFileName(module_handle, full_name, MAX_PATH);
TCHAR* module_name = full_name;
for (int i=0; full_name[i]; i++)
{
if (full_name[i] == '\\') module_name = full_name + i + 1;
if (full_name[i] == '/') module_name = full_name + i + 1;
}
if (!_Inject::IsValidModule(module_name)) return FALSE;
LPCTSTR file_name = _T("c:\\zzz.txt");
HANDLE file_handle = ::CreateFile(file_name, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
if (file_handle != INVALID_HANDLE_VALUE) ::CloseHandle(file_handle);
else
{
TCHAR text[256];
_stprintf(text, _T("ERROR: Cannot create file \"%s\"!!!\nPID: %d"), file_name, ::GetCurrentProcessId());
::MessageBox(NULL, text, module_name, MB_OK);
}
return TRUE;
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
if (IsValidCurrentModule())
{
}
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}

EXTERN_C __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
{
return CallNextHookEx(NULL, code, wParam, lParam);
}

• reversecore 2010/10/04 00:14 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  iexplore.exe 의 자식 프로세스라면...
  7 버전 이후의 탭으로 생성되는 서브 프로세스를 말씀하시는 건지요?
  
  제 경우에는 정상적으로 c:\\zzz.txt 파일이 생성되었습니다.
  (WinXP SP3 & Win7)
  
  혹시 다른 경우를 말씀하시는 거라면 다시 질문 올려주세요~ ^^
  
  감사합니다.

• 김종현 2010/10/04 12:22 댓글주소 | 수정 | 삭제

  테스트해 주셔서 감사합니다.
  그런데 정작 중요한 환경을 알려 드리지 않았네요.
  제가 테스트한 IE는 버전8이고
  말씀하신데로 탭으로 생기는 서브프로세스에서는
  전부 문제가 발생하고 있습니다.
  유독 부모프로세스만 문제 없구요.
  
  정확한 정보는 gmail로 다시 보내드리니
  IE8에서 다시 한번 더 봐 주시길 부탁드립니다.

• reversecore 2010/10/05 21:21 댓글주소 | 수정 | 삭제

  네, 제 테스트 환경과 동일하시네요~
  
  전 보통 최신 .NET Framework 가 설치되지 않은 환경에서의 실행을 보장하기 위해 /MT 옵션으로 빌드합니다.
  
  제가 테스트한 파일을 김종현님 email 로 보내드릴테니 한번 실행해 보시고 결과를 알려 주시기 바랍니다. ^^
  
  * 보안 프로그램등에서 차단당하는 경우도 있으니 참고하시기 바랍니다.
  
  감사합니다.

안녕하세요 :D
계속해서 좋은글을 많이 올려주셔서 제가 기초가 부실한 부분들이 있었는데
많은 도움을 받고 있습니다.
그리고 정말 자세하게 설명하셔서 너무나도 많은 도움이 되고 있구요.
이렇게 좋은 자료들을 열정적으로 공개해주셔서 너무 감사드립니다.

힘내시라고 감사에 글을 적어봤습니다. ㅎㅎ

• reversecore 2010/10/05 21:04 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  칭찬에 감사드립니다. ^^
  
  종종 방문해 주세요~

비밀댓글입니다

• reversecore 2011/02/18 22:10 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  아주 멋진 크랙미 사이트를 만드셨군요~
  
  구경 잘 했습니다.
  
  제 경우에 블로그 홍보를 따로 해본 적은 없습니다. ^^
  
  이곳에 방문 하시는 분들은 대부분 google 과 naver 검색으로 찾아오시는 분들입니다.
  
  감사합니다.

• 2011/02/18 23:02 댓글주소 | 수정 | 삭제

  비밀댓글입니다

비밀댓글입니다

• reversecore 2011/09/03 14:28 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  비슷한 시간에 디버거를 만드신 다는 질문이 여러개 등록되어있군요. ^^
  
  OllyDbg 정도의 범용 디버거는 매우 높은 수준의 개발 실력과 시스템에 대한 이해가 필요하다고 생각하시면 됩니다.
  
  다만 특정 상황에서만 간단히 사용한다면... (Disassembler 도 필요없고 GUI 도 필요없고... 단순한 명령어만 디버깅한다고 했을때... ) 개발 난이도는 상당히 낮출 수 있습니다.
  
  커널 디버거는 저도 아직 어떻게 만들어야 할지 어렴풋이 감만 잡고 있는 수준입니다. ^^~
  
  감사합니다.

안녕하세요? ^-^
책 원고가 완성되었다고 하셨는데.. 개인적으로. 가능하다면.
Immunity Debugger 에 대해서도 설명을 넣으면 좋을것 같습니다 :)
제가 알기로 OllyDbg 를 만들던 분이 Immunity 로 이직하시면서 Python 기반으로 개발하신걸로 알고 있습니다. 물론 무료입니다 :)
http://debugger.immunityinc.com

수고하세요~

• reversecore 2012/01/11 07:53 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  Immunity Debugger 의 python 스크립트는 아주 좋습니다. 저도 많이 써봤지요.
  
  근데 OllyDbg 개발자는 다른 직업이 있고 그냥 취미로 OllyDbg 를 만든걸로 알고있는데요.
  
  Immunity Debugger 는 그냥 OllyDbg 클론이구요. 제가 잘 못 알고 있나요?
  
  감사합니다.

이뮤니티 디버거 같은경우 올리디버거와 같지만 디버거 자체의 라이브러리가 좋다고 말할수 있을거 같아요. 거기다 파이썬 코드로 스크립트 가능하니까 윗분은 뭐 그런 부분을 집어 달라는게 아닐까요?

ollydbg로 분석해서 사진찍으신거 보니 스택보면 arg1이라고 나오고 설명에 무슨 함수 썼는지 옆에 다 나오더라고요... 전 안떠서 그런데 어떻게하나요 ㅠ.. 윈7 64비트인데 플러그인같은거 있던데 깔아도 안나와서요...

와우~Injection / Ejection 을 편하게 할 수 있게 프로그램까지 제작하셨군요~!

많은 도움이 될 거 같습니다 *^^*

• reversecore 2010/03/22 09:41 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  아직 많은 제한사항이 있는 유틸리티랍니다. ^^
  
  감사합니다.

예전 댓글 중에 어떤 분께서 GUI 버전을 고려달라고 하셨는데...
답변해드릴려고 봤더니 그 댓글이 지워졌네요~ ^^

InjDll.exe 를 GUI 로 꾸몄어도 좋았을겁니다.

그냥 제 취향상 콘솔을 좋아하는 것이지요.
개발도 익숙하고 실행파일 크기도 작고
무엇보다 콘솔에서 키보드를 두드리는 그 느낌이 좋아서 말입니다. ^^

감사합니다.

• 늅늅 2010/03/24 19:33 댓글주소 | 수정 | 삭제

  저도 가끔은 콘솔로 작업하는게 더 멋져 보이더라는;;
  
  그래서 WINDBG 사용할때 심볼이나 덤프파일 연결도 커맨드에서 옵션 붙여서 사용하는 습관이 있어서그런지,WINDBG 실행시킨 상태에서 연결하는 걸 아직도 버벅이네요...ㅋ

• reversecore 2010/03/25 23:49 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요
  
  저랑 같으시군요. ^^
  
  감사합니다.

안녕하세요 좋은글, 좋은 프로그램 보고 갑니다.

한가지 질문이 있는데, 위 프로그램으로는 SetWindowsHookEx 으로 injection 된건 ejection 같은데 맞나요?

제가 잘못 사용한것이거나 혹시 방법을 알고 계시면 알려주시면 감사하겠습니다^^

• reversecore 2010/05/01 23:34 댓글주소 | 수정 | 삭제

  네, 맞습니다.
  
  Ejection 방법의 원리는 FreeLibrary() API 를 호출하는 것인데요.
  
  static 하게 임포트된 DLL 과 SetWindowsHookEx() 를 이용해서 매핑된 DLL 은 FreeLibrary() 로는 언매핑 되지 않습니다.
  
  억지로 내리는 방법이 있긴 한데요, undocumented API 를 사용하는 거라서... 제가 테스트 해보니 안정성이 너무 안좋아서 소개해 드리지 않았습니다.

덕분에 테스트용으로 유용하게 잘 사용하고 있습니다. ^^

• reversecore 2010/05/27 01:07 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  잘 사용하신다니 다행이네요. ^^

Would you release source code for this program???

• reversecore 2010/07/10 14:28 댓글주소 | 수정 | 삭제

  http://www.reversecore.com/attachment/cfile1.uf@1379D7214B7EAA5018B5A6.cpp

32비트후킹을 64비트에서도 지원하기 위해 자료 조사중입니다.
64비트를 지원하기 위해 InjDll64.exe, dummy64.dll 를 새로 만드셨는데
InjDll32.exe, dummy32.dll 과 소스가 다른 것입니까? 만약 다르다면
어떻게 하면 64비트를 지원할 수 있는지요?
64비트환경에서 32비트/64비트 프로그램으로 인젝션 하려고 합니다.
부디 좋은 답변 부탁드립니다.
혹시 참고할만한 소스가 있는지요?

• reversecore 2011/01/25 22:49 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  문의하신 두 파일은 32/64 bit 소스는 동일하고 빌드 설정만 차이가 있습니다.
  
  32 -> 32, 64 -> 64 로만 인젝션이 가능하구요.
  
  메일을 알려 주시면 위 소스를 보내드리겠습니다.
  (코드 정리가 좀 덜 되서 아직 공개하지 않았습니다.)
  
  감사합니다.

Study에 있는 강좌는 PID로 injection할 프로세스를 찾았습니다. Global Hooking강좌에서도 프로그램 이름으로 대상 프로세스를 결정했습니다. 프로그램 이름으로 하는 방법은 Study에 공개되지 않은듯합니다. 프로그램 이름으로 하는 방법에대해 관련 소스를 공개해주실 수 있나요?
위의소스코드를 요구하시는 분의 글에 대한 답변도 PID로 하는 것입니다. 자식 프로세스 모두에 적용할 때 프로그램 이름으로 하였습니다. 관련 내용을 알려주셨으면 감사합니다.

• reversecore 2011/01/25 22:54 댓글주소 | 수정 | 삭제

  안녕하세요~
  
  네, 역시 위 소스를 보시면 될 것 같습니다.
  
  메일을 알려주시면 보내드릴께요~
  
  향후 코드를 좀 정리해서 블로그에 올릴 예정입니다.
  
  감사합니다.

비밀댓글입니다

• reversecore 2011/01/31 11:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  메일 보내드렸습니다.
  
  감사합니다.

reversecore 님 빠른 답변에 감사드립니다.
저는 그동안 32bit OS에서 후킹을 하기 위해서 IAT 후킹과 Detours(jmp)하는 방법을 혼용해서
사용하고 있습니다.
reversecore 님이 작성하신 소스는 어느쪽에 해당되는지요?
그리고 32->32, 64->64로만 인젝션이 가능하다고 하셨는데 그럼 안되는 것도 있나요?
이번에 정안되면 기존 소스를 Detours로 완전 교체할까도 생각중입니다.
우선 제 메일 주소는 nason8@gmail.com 입니다.
우선 답변 감사합니다.
아 그리고 메일로도 같은 질문을 하였는데 메일은 잘 확인을 안하시나봐요? ^^

• reversecore 2011/01/31 11:50 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  두번째 점프 코드 패치 방법(detour) 입니다.
  
  인젝션 안되는 경우라 하시면...
  32->64, 64->32 이런식의 인젝션은 실패합니다.
  
  MS 에서 그러한 DLL 로딩은 아예 막아놓았습니다.
  
  아, 그리고 메일 확인했습니다. ^^
  
  InjDll 소스 코드를 보내드렸습니다.
  (책이 출판되기 전까지는 다른 곳에 공개하지 말아주시기 바랍니다.)
  
  감사합니다.

안녕하세요!

InjDll32.exe notepad.exe -i dummy32.dll 을 실행시키니

The token does not have the specified privilege. 가 뜨는데요???

• reversecore 2011/02/09 21:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  아마 로그인한 계정이 "관리자" 속성이 없어서 그런것 아닐까요?
  
  계정을 확인해 보시기 바랍니다.
  
  감사합니다.

우왕 /('ㅅ')/ 64 injector 네용
테스트용으로 감사하게 쓰겠습니다~~ 만쉐에

• reversecore 2011/02/28 15:45 댓글주소 | 수정 | 삭제

  방문 감사합니다. ^^

안녕하세요~^^
reversecore님의 만드신 dll injection코드를 가지고 여러가지로 공부하고 보안쪽을 위해 개발도
하고 있는데요~~
dll 인젝션이 않되는 프로세스가 있어서.. 64bit 윈도우7 인데요~
프로세스명은 LSSrvc.exe 입니다... 이 프로세스에 대해 조사해 보니 lightscribe.com에서 제공하는
LightScribe 디스크에 이미지를 인쇄하는 라이트 스크라이브 응용프로그램이라고 하네요~
(네로 및 레코딩 프로그램 설치시 같이 설치될수 있다고 합니다.)
왜 이놈에 DLL 인젝션이 안되는지..흠;;;; 프로세스 핸들을 못구해오는 것도 아니고..
인젝션후 WaitForSingleObject 여기서 무한정 기다리는걸로 설정해놨는데...무한정 기다리네요.
흠... 뭔가 더 정보가 나오면 다시 글 남기겠습니당 ^^ 수고하세요~

• 아침햇살 2011/02/25 13:19 댓글주소 | 수정 | 삭제

  으윽...아니네요..제가 뭔가 실수를 한거 같습니다...
  우선 제가 제작한걸로 인젝션후에 않되길래 reversecore님이 한걸로 했는데도 안되서...제가 그렇게 생각을 한거 같습니다..
  
  재부팅후 reversecore님이 만들걸로 먼져 시도하였더니 정상 동작됨을 확인하였습니다...
  
  아무래도 제가 한 부분에 먼저 문제가 있는거 같습니다.~~
  
  reversecore님이 만든 인젝터는 정상동작합니다^^

• reversecore 2011/02/28 15:48 댓글주소 | 수정 | 삭제

  아, 그러셨군요~ ^^

비밀댓글입니다

• reversecore 2011/02/28 15:46 댓글주소 | 수정 | 삭제

  메일 보내드렸습니다.

비밀댓글입니다

비밀댓글입니다

• reversecore 2011/07/14 05:35 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  NtCreateThreadEx() 가 실패할 때 에러값을 확인해보시고요.
  
  아마 제 생각에는 권한(특권:Privilege) 문제 같습니다.
  
  BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
  {
  TOKEN_PRIVILEGES tp;
  HANDLE hToken;
  LUID luid;
  
  if( !OpenProcessToken(GetCurrentProcess(),
  TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
  &hToken) )
  {
  _tprintf(L"OpenProcessToken error: %u\n", GetLastError());
  return FALSE;
  }
  
  if( !LookupPrivilegeValue(NULL, // lookup privilege on local system
  lpszPrivilege, // privilege to lookup
  &luid) ) // receives LUID of privilege
  {
  _tprintf(L"LookupPrivilegeValue error: %u\n", GetLastError() );
  return FALSE;
  }
  
  tp.PrivilegeCount = 1;
  tp.Privileges[0].Luid = luid;
  if( bEnablePrivilege )
  tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  else
  tp.Privileges[0].Attributes = 0;
  
  // Enable the privilege or disable all privileges.
  if( !AdjustTokenPrivileges(hToken,
  FALSE,
  &tp,
  sizeof(TOKEN_PRIVILEGES),
  (PTOKEN_PRIVILEGES) NULL,
  (PDWORD) NULL) )
  {
  _tprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError() );
  return FALSE;
  }
  
  if( GetLastError() == ERROR_NOT_ALL_ASSIGNED )
  {
  _tprintf(L"The token does not have the specified privilege. \n");
  return FALSE;
  }
  
  return TRUE;
  }
  
  위 함수를 추가해 주시고요.
  (위 코드는 MSDN 에서 검색 하실 수 있습니다.)
  
  인젝션 하기 전에 아래와 같이 호출해 주세요.
  
  SetPrivilege(SE_DEBUG_NAME, TRUE);
  
  잘 안되시면 다시 질문 올려주시기 바랍니다.
  
  감사합니다.

비밀댓글입니다

• reversecore 2012/01/11 07:20 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  OpenProcess() 호출 실패한다는 뜻인가요?
  
  www.reversecore.com/44 를 참조해서 해보시구요.
  
  보통 OpenProcess() 호출 실패는 말씀하신 권한 문제인 경우가 많습니다. 바로 위의 댓글을 참고하셔서 작업해 보세요.
  
  감사합니다.

비밀댓글입니다

점프코드로 메모장 파일저장 후킹을 하고 있습니다.
64비트 윈도우7에서 하고 있는데요, 제 컴퓨터에선 잘 동작하는데, 다른 컴퓨터만가면 저장할때 메모장이 죽더라구요...
그래서 디버깅을 해보니, 제 컴퓨터에선 점프주소를 통해 제가 생성한 함수로 잘 찾아가는데 비해 다른 컴퓨터에서는 그 주소에 Memory Access violation이 발생하더라구요... 혹시 주소값을 DWORD로 지정하여서 그런가 싶어 unsigned __int64로 선언하고 진행하여 보아도 안되구요...
리버스코어님 소스를 바탕으로 하고 있는데 뭐가 문제인가 싶어 이렇게 질문드립니다.
정말 미치겠네요ㅠㅠ 며칠째 해결 못하고 있어요...
참..! 32비트에서는 정상 동작 확인 하였습니다!

비밀댓글입니다

항상 많은 도움을 받고 있습니다.~
위 소스를 혹시 받을 수 있을까요? 댓글에 올라온 소스를 보니 최신이 아닌듯 해서용~
부탁드립니다.^_^
iam1004@gmail.com
고맙습니다.^_^

저기에 리버스 커넥션을 하는 바이러스를 만들어 넣으면 백신업체 서버에서 접속을 합니다 ㅋㅋ

• reversecore 2010/02/21 11:45 댓글주소 | 수정 | 삭제

  eew님, 안녕하세요.
  
  바이러스토탈로 실험을 하고 계신가 봐요? ^^

ㅈㄷㄱ

비밀댓글입니다