NtSetInformationProcess를 이용한 ROP 공격입니다.

VirtualProtect를 이용한 ROP 공격입니다.

영어로 작성된 원어 문서는 http://www.darkblue.ch/programming/IDA%20User%20Tutorial.pdf 이곳에서 받을 수 있습니다. 번역본 파일은 PDF로 첨부했습니다.

지금까지 생성한 악성코드 3개(mal.exe, multi_encoded_mal.exe, multi_encoded_custom_encoded.exe)는 전부 단일 악성코드로써 일종의 백도어라고 할 수 있다. 실제로 해당 파일을 실행하면 가시적으로는 아무것도 실행되지 않기 때문에 사용자가 의심할 수 있다. 따라서 이를 위해서는 트로이 목마 형태의 악성코드가 필요하다. 트로이 목마 형태는 정상적인 프로그램이 실행되는 것처럼 보여지지만 실제로는 악성 행위가 동작하는 것으로 이번 실습에서는 원격 연결에 자주 사용되는 "putty.exe" 파일을 이용한다. 정상적인 바이너리의 사이즈와 md5 값은 위 사진과 같다. 위 사진의 명령어를 이용하여 트로이 목마를 생성한다. 페이로드+인코더를 이용한 뒤 정상 바이너리에 삽..

이전 포스팅(http://bob3rdnewbie.tistory.com/204)에서 생성했던 악성코드는 아주 단순한 구조이기 때문에 안티 바이러스에서 검출이 된다. 공격자는 이런 현상이 일어나는 것을 원하지 않기 때문에 탐지 회피를 위해 다양한 방법을 이용한다. 다행히 칼리 리눅스에서는 이를 위하여 인코더를 제공한다. 위 사진의 명령어와 같이 입력하면 "shikata_ga_nai" 라는 인코더로 이전에 생성한 악성코드를 3번 인코딩하여 "mal_shikata_x3.exe"로 저장한다. 이 정도로도 모자르다고 느껴지면 아래 사진처럼 다양한 인코더를 겹쳐서 사용할 수 있다. 위 사진의 명령어는 악성코드를 "shikata_ga_nai" 3번, "countdown" 7번, "shikata_ga_nai" 5번 인코..