0xfeedbeef

rdisk0 vs disk0

2012-02-13T22:00:00.001+09:00

오늘 터미널에서 이것 저것 보던 중에 Mac OS X의 /dev 에는 rdisk0와 disk0 가 존재함을 알았다. 보통 리눅스 계열의 경우엔 sda나 hda 디바이스가 존재해서 해당 디바이스의 이미지를 dd를 이용해서 덤프할 수 있으나, Mac OS X에서는 이런 장치가 두 개가 존재하는 것이였다. 둘이 차이점이 뭔지 확인해보니 그 답은 Mac OS X Internal 책에 있었다.

우선 /dev/rdisk0는 raw device로 character device이며, 데이터를 별도의 운영체제의 버퍼 캐시를 통하지 않고 raw 형태로 전송한다고 한다. 이는 버퍼 캐시의 Invalidating없이 디스크 파티션을 생성하거나, 파일 시스템을 생성, 이미 존재하는 파일 시스템의 복구를 수행할 수 있도록 해준다. 보통 리눅스 파일 시스템에 있는 디스크 장치는 맥에서 /dev/rdisk0라고 볼 수 있으며, 책에도 해당 장치에 I/O 요청 시에는 디스크의 블록 크기와 오프셋이 필요하다고 작성되어 있다.

반대로 /dev/disk0의 경우엔 운영체제의 버퍼 캐시를 통해 데이터를 전송한다. 여기서 버퍼 캐시는 물리 장치의 데이터 청크의 위치 정보를 가지는 블록 넘버와 장치의 인덱스 정보를 가지고 있으며, 애플리케이션이 디스크의 데이터를 접근하여 사용하는 경우가 많은데, 이 때 운영체제는 disk0를 이용하여 캐시된 데이터를 유지하고 이를 애플리케이션에 제공하는 형태로 사용할 수 있도록 하였다.

물론 raw device는 저수준의 데이터 접근이 가능하기 때문에, mmap()함수를 통해서도 동일한 역할을 수행할 순 있다고 한다.

결론은 dd를 이용해서 맥에서 디스크 이미징을 할려면, /dev/rdisk0 를 입력으로 받아 처리해야 된다 :-)

iOS Forensics : SMSSearchdb.sqlitedb

2012-01-31T21:17:00.000+09:00

* 이 글은 iPad2 IOS5.0.1 버전을 기준으로 작성되었기 때문에 다른 버전에서는 그 내용이 다를 수 있습니다. 혹시 다른 버전에서 본 파일이 존재하지 않는다면 댓글로 알려주시면 감사하겠습니다 :-)

기존에 가지고 있던 아이패드2를 이번에 나온 ios5용 탈옥으로 핵(hack)하면서 포렌식 적으로 재미난 것이 무엇이 있을까 확인해보던 중 SMS와 관련된 재미있는 내용을 확인하였다. 아이패드의 기본 사용자 계정인 mobile의 홈 디렉터리를 기준으로 '~/Library/Spotlight/' 로 이동해보면 다음과 같이 두 디렉터리를 볼 수 있다.

n0fates-iPad:~/Library/Spotlight mobile$ ls
com.apple.MobileSMS/ com.apple.SpotlightTopHits/

Spotlight는 보통 아이폰의 검색 기능을 위해 존재하는 데몬으로 연락처나, 문자메시지, 지원하는 몇몇 문서 포맷에 대해, 다양한 정보를 인덱싱하여 저장하고 있는 데이터베이스이다. 고유의 포맷을 가지고 있으며, 그 포맷이 알려져 있지 않은 상태이다. 보통은 하나의 디렉터리에 Index0, Index1 이런식으로 데몬의 고유의 관리 방식에 맞춰서 다 수의 파일을 만들어두는게 일반적으로 맥에서 보았던 모습인데, IOS의 경우엔 MobileSMS라는 디렉터리가 별도로 유지되고 있었다. 디렉터의 내용은 다음과 같다.

n0fates-iPad:~/Library/Spotlight/com.apple.MobileSMS mobile$ ls -al
total 96
drwxr-xr-x 2 mobile mobile 170 Jan 31 18:28 ./
drwxr-xr-x 4 mobile mobile 136 Oct 30 15:33 ../
-rw-r--r-- 1 mobile mobile 69632 Jan 31 18:28 SMSSearchdb.sqlitedb
-rw-r--r-- 1 mobile mobile 24576 Jan 31 18:28 SMSSearchidx.spotlight
-rw-r--r-- 1 mobile mobile 0 Jan 31 18:28 updates.SMSSearch.spotlight

디렉터리 내부에는 sqlite 포맷의 파일 하나와 스팟라이트 포맷의 파일이 두개 존재하였다. 실제로도 각 포맷은 확장자 명에 맞는 포맷 구조를 가지고 있었다.

SMSSearchdb.sqlitedb 파일을 뷰어로 확인하면 다음과 같이 나타난다.

Contents 테이블에는 고유 ID인 ROWID와 연락처 정보(iMessage의 경우엔 메일주소도 가능)와 각각의 메시지에 대한 고유값인 GUID를 가진 external id 가 존재하였다. 그리고 대화를 나눈 사용자와 대화를 나눈 내용이 무엇인지도 기록되어 있었다. 실제 데이터를 삭제 시엔 문자 메시지도 함께 삭제되지만, sqlite의 카빙 기법은 이미 많이 알려져 있기 때문에 카빙 기술을 통해 복구할 수 있을 것이다.

보통 맥 환경의 spotlight는 이렇게 명시적인 sqlite포맷을 가지진 않는다. 보통 스마트폰에서 사람들이 많이 하는 문자열 검색 대상이 문자 메시지이다보니 별도로 sqlite 형태의 관리를 하는 것이 아닌가하는 생각이 든다.

현재 아이폰에서는 이 파일이 존재하는지 확인하진 않았지만, 같은 IOS 계열이기 때문에 존재할 것이라 생각된다. IOS에서 수발신한 SMS의 경우엔 많은 논문에서 보통 sms.db 파일로 Library/SMS/ 에 위치해 있는 것으로 많이 알려져 있었기 때문에, 안티-포렌식을 위해 해당 파일 자체를 제거해버리는 상황이 발생할 수 있는데, 이런 경우에 파일 복구 단계를 진행할 필요 없이 해당 파일을 추출하여 SMS를 확인할 수 있기 때문에, 분석 속도를 높이는데 도움이 될 것이라 생각한다. :)

Volafox Project: volafox 0.7 alpha 1 release

2011-12-19T20:26:00.001+09:00

정말 오랜만에 볼라폭스 새버전이 릴리즈 되었습니다. 이번 릴리즈에는 SVN을 통해 개발된 다양한 기능이 추가되었습니다. 이 글에는 0.6에서 추가된 기능을 적어보려고 합니다.

1. 64bit Kernel Support
볼라폭스에서 64비트 커널 기반의 메모리 이미지 분석을 지원합니다. 스노우 레오파드까지만 해도 32비트 부팅이 기본으로 되어있었기 때문에 32비트 커널에 올라온 64비트 프로세스를 분석하지 않는 이상 특별히 64비트 분석 기능을 추가할 필요가 없었습니다만, 라이언부턴 CPU가 64비트를 지원할 경우, 64비트 커널 부팅이 기본으로 설정되어 있습니다. 이에 라이언 운영체제 지원을 위해 64비트 메모리 이미지 분석 기능을 추가하였습니다.

2. Mac OS X Lion support
Mac OS X Lion에서 수집한 메모리 이미지 분석을 지원합니다. 이 기능은 32비트 64비트 상관없이 가능하며, 현재까지 나온 모든 라이언 운영체제(10.7.0 ~ 10.7.2)를 지원합니다.

3. Automated architecture, kernel version detection
기존엔 해당 메모리 이미지와 맞는 커널 이미지를 함께 입력으로 받아 분석을 진행하였습니다만, 물리 메모리에 특정 오프셋에 존재하는 구조체 정보를 통해 해당 정보를 수집할 수 있습니다. 그리하여 메모리 분석을 위해 입력해주는 인자가 (메모리 이미지 명, 분석할 정보)로 줄어들게 되었습니다.

4. Generating Symbol List Database
기존엔 심볼 정보를 Mac OS X의 커널 이미지인 mach_kernel에서 실행 시 추출해서 분석하였습니다. 볼라폭스 0.7에선 overlay data로 DB화하여 관리합니다. 거의 대부분의 커널 심볼 정보를 저장하고 있으며, 이를 통해 볼라폭스는 메모리 이미지만 입력으로 받아도 분석을 진행할 수 있습니다. 만약 심볼 정보를 가지지 않은 경우엔 커널 이미지를 추출하여 ‘overlay_generator.py’를 이용하여 overlay data를 생성할 수 있습니다. 현재 64비트 심볼 데이터베이스는 많이 구성되지 않은 상태입니다.

5. Network Information
이제 볼라폭스는 네트워크 정보를 분석합니다. 단 아직 완벽한 상태는 아닙니다. 실제 전체 네트워크 상태보다 20%적은 정보를 보여줍니다. 하지만 실제 외부와 연결된 네트워크 정보는 모두 표현해 줍니다. 이 기능은 계속 테스트를 진행 중이기 때문에 실험적 기능이라 할 수 있습니다.

6. MMR memory format to Linear memoty format
Mac Memory Reader를 이용하여 생성한 메모리 이미지는 Mach-O 포맷을 가지고 있습니다. 볼라폭스에는 이를 Linear Format으로 바꿔주는 flatten.py 가 내장되어 있습니다. 단, 지금은 32비트 메모리 이미지만 정상적으로 변환됩니다. 이 도구는 Mac Memory Reader 개발자인 hajime Inoue 가 직접 개발하였습니다.

7. Windows Binary Version Release
py2exe로 생성한 volafox.exe 파일을 함께 배포합니다. 이에 윈도우에 아무것도 설치되어 있지 않더라도, 볼라폭스를 동작시킬 수 있습니다. 이는 사용에 어려움을 겪는 분들을 위해 추가한 것입니다. 단 바이너리엔 overlay를 생성하는 overlay_generator.py 의 기능이나, Mac Memory Reader에서 생성한 이미지를 Linear Format으로 바꿔주는 flatten.py 의 기능은 포함되어 있지 않습니다.

8. Process Virtual Memory Map Permission
프로세스 가상 메모리 맵에 권한 기능을 추가하였습니다. 이 것 뿐만 아니라 프로세스와 관련된 여러 정보를 뿌려줄 예정입니다.

SVN을 통해 개발한 기간이 길다보니 여러모로 추가된 기능이 많습니다. 사실 alpha 딱지 띄어도 될 것 같긴 하지만, 아직 안정화 단계를 거치지 않았기 때문에 넣어두었습니다. 이제 2012년이 다가오네요. 볼라폭스에서 앞으로 할 일은 크게 두 가지 입니다.

1. Open File Listing/Dump
프로세스가 오픈한 파일의 목록을 출력하고, 해당 파일의 메모리 영역만 덤프하는 기능을 구현할 계획입니다. 본 기능은 구조체도 어느정도 찾아놓았고 조만간 구현할 예정이였는데, 금일 메일로 같이하는 member가 자신이 1월 초부터 해당 작업을 진행하겠다고 하여, 그때부터 구현이 이루어질 것 같습니다. (전 이거 말고도 할게 많기에-_-;)

2. Inline Function Hooking Detection
이전에도 포스팅한 적이 있습니다만, 인라인 함수 후킹 탐지 기능을 추가할 계획입니다. 방법 다 찾고 구현만 하면 되는데, 차일피일 미루다가 여기까지 와버렸네요-_-; distorm library를 사용할 계획입니다.

3. Hibernation Image Forensics
이건 forensicinsight에서 진행하고 있습니다. 자세한 내용은 이전 포스팅을 참조하세요 :)

이 두 기능만 완료되면 볼라폭스 1.0 으로 릴리즈할 생각을 하고 있습니다. 지금까진 더 이상 기능 추가할만한게 없거든요 :) 앞으로도 할게 많네요. 다들 즐거운 저녁 되시기 바랍니다.!!

Mac Hibernation Image Analysis – Part I

2011-11-10T23:03:00.001+09:00

처음 제가 Mac OS X 메모리 분석을 할 때만 해도 분석이 가능한 수집 방법은 선형 주소 방식의 메모리 이미지인 Firewire를 이용한 수집이나 VMWare Memory Image 뿐이였습니다.
최근에 hajime Inoue의 Mac Memory Reader(MMR)의 컨버터를 volafox에 추가하면서 이젠 하드웨어 및 소프트웨어 방식의 메모리 수집 결과를 분석할 수 있게 되었습니다.
하지만 제 발표자료를 보셨다거나 윈도우 메모리 수집 방법에 대해 조사를 해보신 분이라면 윈도우에선 하이버네이션 이미지를 이용한 분석방법이 존재한다는 사실을 아실겁니다. 윈도우에는 hiberfil.sys가 하이버네이션 이미지를 가지고 있으며, 이를 크래시덤프 형태로 변형해서 Windbg를 통해 분석이 가능 합니다.
사실 volafox project를 처음 개발했을 때부터 하이버네이션 이미지에 대한 분석을 고려했었습니다만, 취업과 더불어 여러가지 일이 생기면서 계속 뒤로 미루고 있었습니다. 그런데 최근에 몇몇 세미나 인원들과 얘기하면서 아는 동생의 논문 주제에 대해 얘기하다가 ‘하이버네이션 이미지 컨버터’를 만들면 충분히 논문으로 쓸만하겠다는 생각이 들어서, 그 동생에게도 알려줄겸, 지금까지 된 상황에 대해 적어보려 합니다.
일단 Mac OS X의 하이버네이션 이미지는 애플의 휴대용 장비인 맥북, 맥북프로, 맥북에어에 기본적으로 존재하며, ‘/private/var/vm/’에 sleepimage라는 파일로 되어 있습니다. 만약 해킨토시나 맥프로, 아이맥, 맥미니에서 하이버네이션 이미지를 수집하고 싶다면, pmset 명령을 이용하여 현재 메모리의 이미지를 생성할 수 있습니다.

VMware-Lion:vm administrator$ ls -al
total 262144
drwxr-xr-x   4 root wheel       136 Nov 5 23:09 .
drwxr-xr-x 29 root wheel       986 Sep 25 12:40 ..
-rw-------   1 root wheel 67108864 Nov 5 22:34 swapfile0
-rw-------   1 root wheel 67108864 Nov 5 23:08 swapfile1
VMware-Lion:vm administrator$ sudo pmset hibernatemode 3
VMware-Lion:vm administrator$ ls -al
total 4456448
drwxr-xr-x   5 root wheel         170 Nov 5 23:09 .
drwxr-xr-x 29 root wheel         986 Sep 25 12:40 ..
-rw------T   1 root wheel 2147483648 Nov 5 23:09 sleepimage-rw-------   1 root wheel    67108864 Nov 5 22:34 swapfile0
-rw-------   1 root wheel    67108864 Nov 5 23:08 swapfile1

pmset의 ‘hibernatemode’ 옵션을 주고 3을 설정하면 됩니다. 아래 표는 각 인자 값에 따른 메모리 이미지 처리를 설명하고 있습니다.

hibernatemode = 0 (binary 0000) by default on supported desktops. The system will not back memory up to persistent storage. The system must wake from the contents of memory; the system will lose context on power loss. This is, historically, plain old sleep.
hibernatemode = 3 (binary 0011) by default on supported portables. The system will store a copy of memory to persistent storage (the disk), and will power memory during sleep. The system will wake from memory, unless a power loss forces it to restore from disk image.
hibernatemode = 25 (binary 0001 1001) is only settable via pmset. The system will store a copy of memory to persistent storage (the disk), and will remove power to memory. The system will restore from disk image. If you want "hibernation" - slower sleeps, slower wakes, and better battery life, you should use this setting.

하이버네이션 구조체에 대한 정보는 커널 소스에서도 확인할 수 있습니다.

해당 소스는 ‘iokit/IOKit/IOHibernatePrivate.h’에 위치한 헤더 파일로 하이버네이션 이미지의 헤더 정보를 가지고 있습니다. 헤더 정보를 보면 aes.h를 인클루드 하고 있으며, aes 키에 대한 정보도 가지고 있습니다. 이는 하이버네이션 이미지를 암호화할 때 AES를 사용함을 유추할 수 있습니다.
그럼 일단 Mac OS X Lion에서 추출한 sleepimage 파일의 최상위 바이트를 확인해보도록 하겠습니다.

이미지 맨 처음엔 IOHibernationImageHeader 구조체 형식의 데이터가 존재합니다. 시그너처인 0x7A7A7A7A를 통해 확인할 수 있습니다.

근데 이 시그너처가 kIOHibernateHeaderInvalidSignature입니다. 이 Invalid의 의미는 제 추측으론 현재 하이버네이션 이미지가 이전에 시스템이 하이버네이션에 들어갈 때의 이미지이기 때문에 그 때 당시 하이버네이션 이미지를 Restore하는 과정에 해당 시그너처를 0x73696d65에서 0x7a7a7a7a형태로 변경하는 것이라 생각합니다. 이를 증명하려면 시스템을 하이버네이션 상태에 진입시키고 시스템에서 하드디스크를 분리하여 이미징 후 하이버네이션 파일을 추출해서 확인하면 좀더 확실해 질 것 같습니다. 아래 코드는 “iokit/Kernel/IOHibernateIO.cpp”의 IOHibernationSystemSleep()의 내용 중 하나입니다.

그리고 추가적으로 스크롤을 하다보면, 가시적인 텍스트를 찾을 수가 없습니다. 이는 라이언이 기본적으로 하이버네이션 이미지를 AES로 암호화하기 때문인 것 같습니다. 아래 그림은 바이트 분포도를 확인한 결과입니다. 0x00과 0xFF를 제외하고 모든 값이 0.3~0.6사이의 퍼센트를 유지하고 있습니다.

하이버네이션 이미지는 AES-128로 암호화를 수행하며 IV는 코드에 박혀있습니다. 아래는 ‘iokit/Kernel/IOHibernateInternal.h’에 정의된 키 사이즈입니다.

다음은 ‘iokit/Kernel/IOHibernateIO.cpp’에 있는 hibernate_write_image 함수에 있는 IV 정보입니다.

이로서 우리가 알 수 있는 사실은 세 가지 입니다.
1. 하이버네이션에 대한 물리메모리 변환 과정은 IOKit에서 수행한다.
1-1. iokit/Kernel/IOHibernateIO.cpp, iokit/Kernel/IOHibernateInternal.h, iokit/Kernel/IOHibernateIO.cpp

2. IOKit에 Hibernation과 관련된 코드는 오픈소스화 되어 있기 때문에 충분히 선형 주소 방식의 메모리 이미지로 변환하는 코드를 작성할 수 있을 것 같다.

3. 하이버네이션 이미지에 실제 메모리 영역은 암호화 되어 있기 때문에 이를 복호화하는 과정이 필요하다.
3-1. 스노우레오파드 땐 많은 양의 명시적 텍스트가 존재하였음.
3-2. 암호화는 AES-128이며 IV는 소스코드에 박혀있다.
3-3. 키는 키체인에 존재하거나 사용자 패스워드를 기준으로 키를 생성하는 코드를 그때그때 실행할 수 있다. 이에 대한 규명과 키를 추출할 수 있는 방안이 필요하다.

이 내용을 기반으로 Part 2에선 좀더 진행해보도록 하겠습니다.(물론 시간이 걸리겠지만…)

volafox Project: 개발 현황

2011-09-18T23:49:00.001+09:00

오랜만에 포스팅합니다. 그간 회사 일과 다양한 외부 프로젝트를 준비 중이다보니 포스팅이 뜸하게 되었네요.
현재 0.6버전 이 후에도 계속 개발되고 있으며 많은 점이 바뀌고 있습니다.
대표적으로 변경된 점은 다음과 같습니다.

1. 네트워크 정보 추출 기능
현재 이 기능은 베타로 모든 데이터를 가져오진 못하고 있습니다. 하지만 네트워크 정보가 휘발성 정보이기 때문에, 침해사고 발생 시 유용하게 사용될 수 있을 것 같아서 일단 추가는 해 두었습니다.(아직 버그가 존재합니다.)

2. 커널 심볼 정보의 DB화(overlays)
이 방법은 Chris Leats가 제게 보내준 것으로, 커널 이미지에서 추출한 심볼 정보를 미리 생성하여 보관하여 필요에 따라 overlay 데이터를 바로 끌어다 사용할 수 있게 해주는 기능이라 할 수 있습니다. 이로인해 분석 속도를 획기적으로 높일 수 있었습니다. pickle 라이브러리로 간단하게 구현할 수 있었습니다.

3. 메모리 이미지 내에서 커널 버전 정보 추출
이 방법도 Chris Leats가 알려준 유용한 내용입니다.(Thx Chris Leats :) ) 가상 주소 0x2000에 존재하는 eyecatcher(‘Catfish’)를 이용하여 오프셋에 위치한 운영체제 버전 정보, 다윈 커널 버전 정보, KEXT 시작 주소 정보를 획득할 수 있습니다. 시그너처를 탐색하여 운영체제 버전 정보를 획득하면, 해당 메모리 이미지에 맞는 Overlay 데이터를 알려줄 수 있기 때문에, 분석하는 입장에서 맥 운영체제의 버전 정보를 별도로 얻을 필요가 없어지게 됩니다. 이러한 점은 맥 메모리 포렌식의 무결성을 높여줄 수 있는 요소가 되었습니다.

4. Mac Memory Reader를 이용하여 추출한 메모리 이미지 분석 기능
기존 volafox는 linear한 맥 메모리 만을 분석할 수 있었습니다. 이는 Firewire로 추출한 메모리 또는 vmware상의 맥에 대한 메모리 이미지 분석만을 할 수 있게되어 분석 범위에 한계를 가지게 되는 문제가 있었습니다.(맥북에어나 맥북은 firewire가 없음). 이번에 Mac Memory Reader에서 추출한 정보의 분석 기능이 추가됨에 따라 이제 아무런 문제 없이 모든 맥의 메모리 정보를 분석할 수 있습니다.

이것 외에도 추가적인 여러 기능을 추가 중에 있습니다. 그리고 새로운 소식도 있습니다. 뉴욕에 거주 중인 Forensic Researcher 두 분(@hajimeinoue, @osxmem)이 volafox project에 함께하고 있습니다. 맥 쪽으로 연구를 많이 하는 친구들이기 때문에 여러모로 도움이 많이 될 듯 합니다. :)

volafox project: Gathering network information in Mac OS X memory image

2011-08-08T22:49:00.006+09:00

FreeBSD의 네트워크 정보 추출을 베이스로하여 Mac OS X의 네트워크를 구현하였는데 여러가지 차이점이 존재합니다. 애플도 BSD커널을 그대로 사용하진 않았네요.ㅎ
우선 Mac OS X의 네트워크 정보는 커널 심볼 중 '_tcbinfo'와 '_udbinfo'에 존재합니다. 심볼 이름은 유사하지만, 큰 차이점은 두 심볼이 64비트 주소체계를 가지고 있기 때문에 volatility의 32비트 분석모듈로는 데이터 분석이 올바르게 되지 않습니다

n0fates-MacBook-Pro:volafox_0.6_beta1_fixed1 n0fate$ nm /mach_kernel | grep tcbinfo
ffffff800088af60 S _tcbinfo
n0fates-MacBook-Pro:volafox_0.6_beta1_fixed1 n0fate$ nm /mach_kernel | grep udbinfo
ffffff800088b5c0 S _udbinfo
n0fates-MacBook-Pro:volafox_0.6_beta1_fixed1 n0fate$

(사실 32비트 주소 변환 테이블에 돌려도 되긴합니다. 맥의 심볼 정보에선 64비트 주소체계더라도 PML4 형식에 맞춰 하위 48비트 주소를 이용하는데, 이 중 상위 16바이트는 사실상 없어도 크게 문제가 없는 듯 합니다. 아무래도 커널 자체가 32비트로 로딩되다보니, 32비트 페이지맵과 64비트 페이지맵 둘다 맵핑 가능하도록 구현된 것 같습니다.)

&lt;PML4의 페이지 맵핑 구조&gt;

여튼 이러한 점이 존재하여 공식적으론 PML4로 맵핑하여 분석해야합니다. volafox에는 프로세스 덤프 때문에 구현한 PML4 주소변환테이블 파싱모듈이 있기 때문에 이 부분은 쉽게 해결하였습니다.

FreeBSD 메모리에서 네트워크 정보를 추출할 때 언급한적이 있지만, 네트워크 정보는 리스트 형태의 정보와 해시테이블형태로 관리되고 있습니다. BSD의 경우 inpcb 구조체 상의 리스트 정보를 조작하여, 네트워크 정보를 은닉할 수 있었지만, 해시 테이블을 제거할 경우 네트워크 세션자체가 단절되어버리기 때문에, 해시테이블을 이용하면 루트킷의 은닉 기법을 회피하여 정보를 획득할 수 있었습니다. 이는 맥에서도 BSD 컴포넌트를 통해 동일한 형태(?)로 접근가능하도록 되어 있습니다. 아래 그림은 맥 운영체제의 해시테이블의 구조입니다.

처음에 언급한 심볼인 '_tcbinfo','_udbinfo'는 실제로 inpcbinfo구조체로 되어 있으며, 해당 구조체 중 첫 번째 4바이트 포인터가 해시테이블을 가리키고 있습니다. 그리고 구조체의 8바이트 뒤에 위치한 hashmask가 해시 테이블의 갯수를 나타냅니다. 해시 테이블을 기본적으로 4바이트 크기를 가지고 있습니다.

  430 struct inpcbinfo {              /* XXX documentation, prefixes */
  431         struct  inpcbhead *hashbase;
  432 #ifdef __APPLE__
  433         u_int32_t       hashsize; /* in elements */
  434 #endif
  435         u_long  hashmask;       /* needs to be u_long as expected by hash functions */
  436         struct  inpcbporthead *porthashbase;
  437         u_long  porthashmask;   /* needs to be u_long as expected by hash functions */
  438         struct  inpcbhead *listhead;
  439         u_short lastport;
  440         u_short lastlow;

(reference: http://fxr.watson.org/fxr/source/bsd/netinet/in_pcb.h?v=xnu-1456.1.26#L426)

두 번째 문제는 이 해시테이블을 통한 정보 추출에서 해시셋의 크기까지는 올바르게 나오는 것 같은데 해당 정보를 기반으로 데이터를 추출하면 실제 존재하는 세션 갯수보다 적은 수를 추출하는 문제가 발생합니다.

n0fates-MacBook-Pro:volafox_0.6_beta1_fixed1 n0fate$ python volafox.py -i mem.mem -s mach_kernel -o net_info

Memory Image: mem.mem
Kernel Image: mach_kernel
Information: net_info

-= NETWORK INFORMATION (hashbase) =-
ipi_count: 11
[TCP] Local Address: 0.0.0.0:22, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 172.16.43.135:53, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 127.0.0.1:54, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 172.16.43.135:22, Foreign Address: 172.16.43.1:49422, flag: 8000
[TCP] Local Address: 0.0.0.0:311, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 0.0.0.0:625, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 127.0.0.1:631, Foreign Address: 0.0.0.0:0, flag: 8000
[TCP] Local Address: 172.16.43.135:22, Foreign Address: 172.16.43.1:52918, flag: 8000
ipi_count: 35
[UDP] Local Address: 0.0.0.0:53232, Foreign Address: 127.0.0.1:0, flag: 40088000
[UDP] Local Address: 0.0.0.0:55297, Foreign Address: 0.0.0.0:0, flag: 808300
[UDP] Local Address: 0.0.0.0:59490, Foreign Address: 0.0.0.0:0, flag: 808300
[UDP] Local Address: 0.0.0.0:62853, Foreign Address: 0.0.0.0:0, flag: 808300
[UDP] Local Address: 0.0.0.0:60439, Foreign Address: 127.0.0.1:0, flag: 40088000
[UDP] Local Address: 0.0.0.0:65241, Foreign Address: 0.0.0.0:0, flag: 808300
[UDP] Local Address: 127.0.0.1:60762, Foreign Address: 0.0.0.0:0, flag: 8000
[UDP] Local Address: 172.16.43.135:123, Foreign Address: 17.83.253.7:0, flag: 8000
[UDP] Local Address: 0.0.0.0:63852, Foreign Address: 0.0.0.0:0, flag: 808300
[UDP] Local Address: 0.0.0.0:51326, Foreign Address: 0.0.0.0:0, flag: 808300

출력된 정보 중 ipi_count가 실제 세션의 갯수입니다. 이 갯수는 실제로 맥에서 netstat 명령으로 출력된 세션 정보와 동일합니다. 밤에 두시간 삽질을 해보긴 했는데 왜 실제보다 적은 데이터를 추출하는지에 대해서는 문제의 원인을 정확히 찾지 못하고 있습니다.
좀더 확인해보고 정 안되겠다 싶으면 리스트 기반의 정보 추출을 병행하도록 구현하는 수 밖에 없을 것 같습니다(아직 이 방법으로도 올바르게 추출되는지는 확인못했습니다).

아마 본 작업이 완료되면, volafox alpha2라는 이름으로 릴리즈 될 것 같습니다. 요즘들어 업데이트가 많이 느려졌네요 ㅎㅎ.

다들 좋은 저녁되시기 바랍니다!

volafox project: distorm library

2011-07-24T20:30:00.004+09:00

distorm library는 Intel & AMD 환경의 코드의 디스어셈블 기능을 제공하는 라이브러리로 상용과 프리웨어로 나뉩니다. volafox project에서 해당 내용을 다루는 이유는 이전 포스트에 설명했던 인라인 함수 후킹을 탐지하기 위한 방안인 각 시스템 콜 영역의 해시 값을 산출하여 비교하는 방법에 이용하기 위함입니다.
코드의 시작 부분은 문제가 되지 않지만, 코드의 끝을 의미하는 RETN의 명령을 올바르게 해석하기 위해선 디스어셈블을 통해 RETN에 해당 하는 코드인 C3이 opcode인지 operand인지 확인하는 부분이 필요하기 때문입니다.
이에 본 포스팅에서는 간단하게 distorm을 이용하여 특정 콜 넘버의 함수를 디스어셈블 하는 과정을 담도록 하겠습니다. 참고로 distorm library의 설치는 'setup.py install'을 통해 간단히 설치할 수 있습니다(맥과 윈도우에서 테스트 되었습니다).

Mac에서 에디터로 작업하다보니 코드가 깔끔하게 붙지 않아서 그냥 이미지로 올립니다.

위 함수의 인풋인자는 리스트 구조의 심볼 목록과 시스템 콜 넘버를 받습니다. 콜 넘버가 일치하면 해당 시스템 콜 테이블의 시스템 콜 함수의 주소 값을 가지는 'sysent[call_number].sy_call' 의 커널 가상 주소로부터 300바이트의 데이터를 받아옵니다. 그리고 읽은 데이터를 32비트형태의 디스어셈블 코드로 디코딩 하여 리스트 l에 저장합니다. 여기서 Decode16Bits로 하면 16비트 instruction으로 해석하며 Decode64Bits로 하면 64비트 Instruction으로 해석합니다.
Decode 함수의 첫번째 인자는 차 후 각 명령어에 대한 올바른 가상 주소를 표현하기 위한 Base Address를 지정합니다. 위의 예에선 'sysent[call_number].sy_call' 가 베이스 주소가 됩니다.
l 리스트의 한 레코드의 각 블럭 정보는 다음과 같습니다.

[Base Address+Code Offset][sizeof(raw_code)][raw_code][Decoded Disassemble Instruction]

이런 정보를 잘 정리해서 뿌려주는게 위의 코드가 되겠습니다. 해석 종료는 '해석한 디스어셈블 명령'이 RET인지를 체크하여 결정합니다.
위의 과정을 통해 2번째 시스템 콜(fork)을 해석한 화면은 아래와 같습니다.

코드가 정상적으로 동작하는 것을 확인할 수 있습니다.
해당 모듈은 아직 volafox project에 추가하지 않았습니다. 현재 이것저것 다른 일을 수행하다보니 우선은 inline function hooking 탐지 모듈이 완벽하게 구현되면 업로드할 예정입니다. distorm library를 설치함으로 인해 예전 volafox project의 장점인 python만 설치하고 동작할 수 있는 간결성은 떨어졌지만, 현존하는 시스템 콜 함수 후킹 기법을 모두 탐지할 수 있기 때문에 루트킷 탐지에 더욱 효율성이 높아질 수 있을 것이라 생각합니다.

volafox project: inline function hooking detection

2011-07-05T09:57:00.004+09:00

volafox 프로젝트로 만들어진 도구에서 시스템 콜을 조작하는 루트킷의 정보 변조 기법을 탐지하기 위해 업데이트를 하고 있습니다.
사실 단순히 시스템 콜의 핸들러 주소를 변경하는 System call Hooking은 현재 해당 프로젝트에서도 어느정도 탐지해 낼 수 있습니다만, inline function hooking 기술의 경우엔 시스템 콜 함수의 포인터 주소를 변형하는 기술이 아닌 함수 자체에 앞의 x 바이트를 변조시키거나 함수 전체를 evil stuff code를 덮어버리는 형식으로 진행되는 것이라, 코드 자체에 대한 변조 여부를 탐지해야 합니다.
해당 기술을 탐지하기 위해 volafox 프로젝트에 추가될 내용은 다음과 같습니다.

아래부터는 FreeBSD 메모리 분석 도구인 volafunx를 기준으로 설명합니다. 본 기법을 BSD기반에 먼저 적용하고 효과가 있으면 맥용 도구에도 적용할 예정입니다.

syscall_info에 KLD 목록 출력 시 사용했던 -v옵션을 적용하여, 활성화 시 inline function hooking을 탐지하기 위해 커널 이미지에서 추출한 시스템 콜 핸들러 주소(커널 이미지 내의 심볼 정보)와 코드 베이스 주소(커널 이미지 헤더에 정의), 그리고 커널이 로드된 주소(일반적으로 0xC0000000)을 이용하여, 각 심볼에 맞는 코드 영역을 추출하여, 해시 값을 산출하여, 시스템 콜의 핸들러 함수의 해시 값과 비교하는 방법을 구현할 예정입니다.
커널 이미지와 메모리 이미지 상의 시작 주소와 끝 주소는 다음과 같이 정의합니다.

커널 이미지 상의 시작 주소: 시스템 콜 핸들러 주소 - 커널이 로드된 주소 -코드 베이스 주소
커널 이미지 상의 끝 주소: 읽은 코드 바이트가 ~~C3(~~retn)인 경우, 코드의 끝으로 정의

메모리 이미지 상의 시작 주소: sysent 구조체의 핸들러 함수의 주소
메모리 이미지 상의 끝 주소: 커널 이미지 상의 끝 주소를 판단하는 방법과 동일

해당 정보를 이용하면 inline function hooking의 변조를 탐지할 수 있을 것으로 생각됩니다.(물론 좀더 확인할 필요는 있습니다.) 단지 이 방법은 성능이 엄청나게 떨어지는 문제가 있기 때문에 미리 커널에서 정보를 빼내 xml 형태로 구성하여 메모리 분석 도구 자체는 xml에서 정보를 읽어들여 분석하는 방법도 생각하고 있습니다.(사실 이 부분은 전부터 생각했던 문제인데, 자꾸 손을 안대고 있네요. 지금도 volafunx는 커널 이미지에서 심볼 가져오는게 엄청 느리지요. 저의 발적화로 인해 xD)
본 기능에 대한 이론적인 베이스는 정리가 되었으니 구현만 하면 될 것 같습니다. 조만간 좀더 강력해진 도구를 보여드릴 수 있겠네요 :)

volafox: TODO

2011-06-19T15:10:00.004+09:00

아시는 분들은 아시겠지만 볼라폭스가 이번에 백트랙(BackTrack) Repository에 추가되었습니다.
아무래도 외국 유명 포렌식 블로그에 추가된 영향이 큰 것 같습니다. :)
기분이 좋긴하지만 부담도 상당하네요.
최근에 아이패드를 구매하면서 마인드맵도 구매하고 첫번째로 한 작업이 volafox에서 지금까지 추가한 내용과 앞으로 할일을 정리하였습니다.

우선은 volafunx에서 구현한 내용을 토대로 추가할 것만을 작성하였습니다. 앞으로 해당 내용을 기반으로 기능 추가가 이어질 예정입니다.
추가적으로 각 기능을 저 혼자하기엔 직장도 있고해서 포렌식 전문가 한분이 함께 co-work을 하기로 하였습니다 실력자이시기에 큰 도움이 될 것 같습니다 :)
아 축구 시작했네요. 저번 올림픽 축구는 경기가 상당히 지루하던데, 이번 경기는 재밌었으면 좋겠습니다. :)
다들 즐거운 일요일 되시기 바랍니다!!

volafunx 0.2 beta2 Release

2011-05-22T22:09:00.005+09:00

뒤늦게 글을 올리네요. volafunx 0.2 베타2가 지난번에 릴리즈 되었습니다. 이번 버전의 특징은 다음과 같습니다.

도구 링크: volafunx 0.2 beta2

* 프로세스 목록 추출: 기존의 리스트 기반 추출에서 해시 테이블 기반 추출 기능 추가
* 프로세스 덤프를 프로세스 은닉 기능에 대응할 수 있는 해시 테이블 기반으로 수정
* 네트워크 정보 추출: 리스트 기반 추출에서 해시 테이블 기반 추출 기능 추가
* 네트워크 정보의 IP 출력 기능 추가

기존 프로세스 및 네트워크 정보 추출 기능은 루트킷이 리스트를 제거하는 기법을 통해 우회가 가능했었는데요. 문제를 보완하기 위해 또다른 탐지 방법인 해시테이블을 통한 검색을 추가하였습니다.

해시 테이블은 프로세스 및 네트워크 정보를 빠르게 수집하기 위해 캐시와 같이 섹터크기부터 클러스터 크기 정도의 영역에 각 프로세스 또는 네트워크 구조체의 커널 주소 영역을 int형 배열 형태로 정리해 둔 테이블입니다. 이에 커널 또는 콘솔 상의 몇몇 명령어들이 속도 향상을 목적으로 해당 명령어를 사용하는데요. volfunx 0.2 베타2에서도 이제 해당 정보를 추출하여 정보를 뽑아오도록 하였습니다.

그럼 이 정보로 프로세스나 네트워크 정보의 완전 무결성을 보장할 수 있냐고 물으신다면, 절반은 'yes'라고 대답하겠습니다.

왜 절반이냐면, 네트워크 정보는 보장할 수 있지만(시스템 콜 후킹을 하지 않았다는 전제하에..) 프로세스는 해당 기법을 우회하는 루트킷의 은닉 기법이 존재하기 때문입니다.

본래 bsd(뭐 리눅스도 동일할 겁니다.)는 작업 관리를 task 단위로 수행합니다. 즉 프로세스 관리 구조체인 proc는 실제 구동 후에는 크게 상관이 없게 되는 것이죠. 이에 프로세스를 최초 로드할 때 proc 구조체를 생성하고 난 후에는 task 정보를 스케쥴링에 이용한다고 생각하면 됩니다.

스레드 구조체로 관리할 수도 있다고 생각했는데, 이도 아닌 것으로 확인되었습니다. 적어도 bsd는 스레드에 대한 별도의 체인을 유지하고 있진 않으며, 각 proc 구조체에 있는 thread링크 체인은 해당 프로세스 내부의 스레드 체인만을 관리하고 있습니다. 커널 이미지 내의 thread0 또한 커널 프로세스의 스레드 시작 주소만을 저장하고 있기 때문에, 해당 정보를 이용해서는 모든 프로세스의 정보를 추출할 순 없게 되는 것이지요.

결론적으로 프로세스 은닉을 완벽하게 탐지하기 위해서는 task 구조체의 정보를 추출해야 합니다. 이를 위해서는 커널 이미지의 task_queue를 추적하는 방안을 생각하고 있습니다. 커널 이미지는 다 수의 task_queue를 배열로 관리하기 때문에, 해당 내용을 좀더 분석하면 좋은 결과를 얻을 수 있을 것이라 생각합니다.

네트워크 정보의 경우엔 네트워크 연결 및 전송을 해시테이블을 이용하여 수행하므로 루트킷에서 함부로 링크를 제거할 수 없습니다. 이에 현재로서는 별도의 업데이트의 필요성을 느끼지 않고 있습니다.

이제 슬슬 해당 작업을 시작해야 하는데, 다른 일들이 있다보니 아직은 시작하지 못하고 있네요. 우선 구글링 결과로는 해당 기법이 나와있지 않으니, 도구화해서 잘 증명하면 괜찮은 탐지 기술이 될 것 같습니다.

이로써 volafunx는 크게 2가지 일이 남았네요.

1. task기반 프로세스 은닉 탐지 기술
2. 프로세스 및 네트워크 정보 카빙 기술

사실상 이 정도만 구현되면, 그 다음 링크된 파일 추출 기술 같은 것은 천천히 구현해도 될 것 같습니다. 생각해둔 아이디어는 많은데 시간이 없네요. cowork할 시점이 다가오는 것 같습니다. :)

역시 일요일에 포스팅을 하니 좀더 여유있게 글을 쓸 수 있네요. 이제 다른 삽질을 하러 가봐야겠습니다. 좋은 저녁 되시길! :)

FreeBSD Rootkit Part1 - Understanding KLD & Skeleton Code

2011-05-01T22:42:00.009+09:00

FreeBSD는 현재 리눅스 2.6 커널과 마찬가지로, 단일 커널에 주요 기능을 부여하고, 3rd party 개발자가 추가로 원하는 기능이나 디바이스 드라이버를 손쉽게 추가하기 위해 동적 커널 링커를 제공한다. 동적 커널 링커를 연결함으로 시스템에 새로운 모듈을 추가하더라도 별도의 시스템 재부팅이 필요하지 않아 개발자 뿐만 아니라 서버 관리자에게 개발 편의성과 서버의 가용성을 높인다.

동적 커널 링커는 리눅스와 BSD 그리고 Mac OS X에서 각각 다른 이름으로 불리지만, 기능이 거의 유사하기 때문에 커널의 메모리 영역을 접근할 수 있고 루트 권한으로 작동한다는 점을 이용하여, 악의적인 사용자들은 루트킷의 다양한 테크닉을 적용하기 위한 목적으로 사용되고 있다. 이에 지속적인 블로그 포스팅을 통해 루트킷 기법을 설명하고 이를 방어하기 위한 다양한 방법에 대해 생각해보고자 한다. 금일은 간단하게 KLD를 이해하고 뼈대 코드를 작성하는 시간을 가지도록 하겠다.

KLD는 FreeBSD 3.x 시절에 LKM(Loadable Kernel Module)로 불리던 것으로 KLD로 변경되면서 현재와 같이 하나의 링커 파일에 다양한 모듈이 추가될 수 있다. 이는 BSD에서 로드된 동적 커널 링커의 목록인 kldstat를 이용하여 확인할 수 있다.

[n0fate@FreeBSD ~/rootkit/basic]$ kldstat -v
Id Refs Address    Size     Name
1    1 0xc0400000 bd97b4   kernel (/boot/kernel/kernel)
Contains modules:
Id Name
94 ataraid
364 if_lo
351 elf32
352 shell
336 pseudofs

이러한 커널 링커의 특징으로 여러 모듈을 각각 로드할 필요 없이, 하나의 컴포넌트(링커 파일)로 생성하여 관리할 수 있어 관리의 효용성을 높일 수 있다. 이 외에도 LKM과 KLD의 차이점에 대한 내용은 FreeBSD 포럼에 올라온 동적 커널 링커(KLD) 프로그래밍 튜토리얼을 통해 확인할 수 있다. 링크의 사이트에도 추가적인 skeleton code를 제공하고 기본 코드 작성을 위해 세세하게 코드를 설명하였기 때문에, 개발에 관심이 있다면 해당 문서를 탐독하는 것도 공부에 도움이 될 수 있다. 단 FreeBSD 4.0을 기반으로 작성하였기 때문에 약간 변경된 점이 있다는 것은 고려해야 할 것이다.

이제 실제 FreeBSD의 코드를 확인해 보자. 모든 코드는 FreeBSD 7~8까지 호환될 것으로 생각한다. 실제 개발을 하면서 보고 싶다면, FreeBSD 설치 시 Developer버전으로 설치하는 것이 좋다.

#include <sys param.h>
#include <sys module.h>
#include <sys kernel.h>
#include <sys systm.h>

static int
load(struct  module* module, int cmd, void *arg)
{
 int error = 0;

 switch(cmd) {
 case MOD_LOAD:
  uprintf("load\n");
  break;
 
 case MOD_UNLOAD:
  uprintf("unload\n");
  break;

 default:
  error = EOPNOTSUPP;
  break;
 }

 return error;
}

static moduledata_t hello_mod = {
 "hello",
 load,
 NULL
};

DECLARE_MODULE(hello, hello_mod, SI_SUB_DRIVERS, SI_ORDER_MIDDLE);

코드를 컴파일하기 위한 Makefile은 다음과 같다.

SRCS = hello.c
KMOD = hello

.include <bsd.kmod.mk>

빌드는 간단히 make를 통해 가능하며, kldload ./hello.ko 를 통해 모듈을 로드할 수 있다.

[n0fate@FreeBSD ~/rootkit/basic]$ make
[n0fate@FreeBSD ~/rootkit/basic]$ sudo kldload ./hello.ko
Password:
load
[n0fate@FreeBSD ~/rootkit/basic]$ kldstat -v
Id Refs Address    Size     Name
 1    3 0xc0400000 bd97b4   kernel (/boot/kernel/kernel)
 Contains modules:
  Id Name
  94 ataraid
  364 if_lo
  351 elf32
  352 shell
  336 pseudofs
  365 if_tun
  427 elink
  363 if_gif
  375 mld
  374 igmp
...
...
...
  373 wlan_sta
  337 g_dev
  362 if_firewire
  360 ether
  440 x86bios
 2    1 0xc1f97000 2000     hello.ko (./hello.ko)
 Contains modules:
  Id Name
  462 hello
[n0fate@FreeBSD ~/rootkit/basic]$

코드가 정상적으로 로드되었다.

volafox의 최근 근황

2011-04-29T17:47:00.001+09:00

원래 메인 모듈은 volafox인데 BSD분석 모듈인 volafunx가 더 진행이 되고 있습니다.

이 이유는 다른게 아니라, 프로세스 덤프 기능 때문입니다.

BSD와 다르게 Mac OS X는 커널이 32비트이고 데이터 관리를 32비트로 하지만, 32비트와 64비트 프로세스가 동시에 로드될 수 있는 구조로 되어있습니다. 현재까지 파악한 바로는 PML4(Page Map Level 4)로 페이징하나 Page Directory Pointer Table로 페이징하나 기준 테이블의 위치는 다르지만, 동일한 주소를 가지도록 만들었기 때문인 것 같습니다.

우선은 PML4인 Intel 64비트 운영체제를 기반으로 한 주소 변환 기능 구현을 완료하였기 때문에, 빠른 시일 내에 프로세스 덤프 기능이 추가될 것 같습니다.

원래 글을 따로 쓰진 않았는데, volafunx에 비해 너무 천대 받는 것 같아서 글을 올리게 되었네요. :)

다들 좋은 금요일 저녁 되시길!

volafunx 0.2 beta1 Release!

2011-04-29T17:34:00.004+09:00

<쓸 때마다 저작권 걱정하는 volafox의 아이콘>

4월도 거의 끝나가네요 :)
거의 안쓰시는 버림받은 도구인 volafox 0.2가 베타1 버전이 공개되었습니다.
변화된 기능은 다음과 같습니다.

Description:	* KLD 리스트 출력 시 발생한 문제 해결 * 이젠 BSD linker 내부의 모듈 정보도 함께 확인할 수 있습니다.(-v 옵션) * volafunx는 이제 네트워크 일부 정보(포트)를 추출할 수 있습니다.

Description:

* KLD 리스트 출력 시 발생한 문제 해결
 * 이젠 BSD linker 내부의 모듈 정보도 함께 확인할 수 있습니다.(-v 옵션)
 * volafunx는 이제 네트워크 일부 정보(포트)를 추출할 수 있습니다.

현재 inpcb 구조체에서 네트워크 정보를 추출 중인데, IP에 대한 정보는 존재하지 않는 것을 확인하였습니다. netstat는 아마 다른 구조체와 맵핑을 하는 것 같은데, 이 부분에 대해 좀 더 증명이 필요할 것 같습니다. 이 기술이 완료되면 바로 beta2로 넘어갈 예정입니다.
네트워크 정보 추출 기능은 5월달 내로 예상하고 있으나, 이는 엄청나게 높은 확률로 변경될 수 있습니다.

또한 저번주부터 BSD 루트킷의 은닉 기법들을 체크하여, 각 기능을 우회하여 올바른 정보를 수집할 수 있는지 테스트하고 있습니다.
조만간 다양한 루트킷 기법을 정리하여, 각 기법을 어떤식으로 탐지할 수 있는지에 대한 블로깅을 하겠습니다.

volafunx 0.2 beta1 Download Link

지겹도록 잔 주말이였네요.

2011-03-20T23:36:00.000+09:00

코드게이트 예선전의 피로를 이제서야 해소한 것 같습니다.

아직 좀더 잠이 필요하긴하지만, 마냥 놀 수 있는 상태가 아니기 때문에, 지금은 이것저것하고 있는 중입니다.

그래도 곧 자야겠지요 ㅎㅎ

제가 냈던 코드게이트 문제 중 하나가 약간의 문제가 있었습니다.

사실 그 문제에 몇몇 요소가 추가되야하는데, 그 부분이 잘 구현되지 않게되다보니, 앞단을 자르고 문제를 내게되어, 문제 풀이하는 분들이 본의아닌 삽질이 이루어지게 되었습니다.

나름 괜찮은 요소여서 낼려고 했는데, 코드 불안정 + 시간적인 여유가 부족하여, 재미요소를 반감시키고 짜증 요소를 증가시켜서 해당 문제를 풀던 분들에게는 죄송하게 생각합니다. :|

저것 때문에 48시간 내내 은근히 스트레스가 심했습니다.

근데 신기한건 문제 푸는 중엔 불만이 있으셨던 분들이 대회 끝나고선 아무도 '이런 부분에 문제 있었다'라는 메시지를 메일이나 IRC 를 알 수 있음에도 말해주지 않은 점은 참으로 아쉬웠습니다.

코드게이트 때도 24시간의 대회 모니터링을 해야합니다. 48시간의 절반밖에 안되지만, 장소가 편하진 않은만큼 피로감은 좀 더 느껴질 것 같습니다. 다들 재미있는 시간 보내었으면 좋겠고, 코드게이트 컨퍼런스가 잘 마무리 되었으면 합니다.

다들 즐거운 주말 저녁 되시길!

Redesign my blog!! :)

2011-03-18T12:09:00.001+09:00

요즘 블로그에 대한 투자가 줄어든 이유는 회사와 코드게이트 때문이였습니다.

회사 분위기 적응하는 것도 일이더군요...;;
코드게이트도 은근히 압박으로 다가오다보니 다른걸 자꾸 않하게 되어 블로그도 미루게 되었습니다.

이에 새로운 디자인으로 블로그를 바꾸고, 3월부터 제대로 포스팅한번 해보자는 생각에 글까지 쓰게 되었습니다. 원래 블로그 타이틀인 'feedbeef'가 윈도우에선 잘 나오는데 이상하게 리눅스에선 올바르게 폰트가 적용되지 않아 이유를 파악하고 있습니다만, 수정하지 않을 가능성이 높습니다. ;p

기존에 메모리 포렌식에 대한 주제를 잡고 계속 글을 올리려고 했는데, 그러다보니 올리는 글도 지극히 제한적이게 되는 문제가 있어서, 다양한 글을 쓰기로 하였습니다. 그렇기 때문에 뻘글이 지수가 상당히 높아질 수 있습니다. :-)

(제 소개 페이지도 간략하게 하나 만들까하고있고요)

여튼 벌써 점심시간을 10분이나 초과했네요.! 다들 점심 식사 맛있게 하시고, 여러 블로거들에게 도움이 되었으면 좋겠습니다.!

[Document] Memory forensics for FreeBSD

2011-02-06T21:03:00.002+09:00

BSD환경은 기업의 서버에서 많이 사용됨에 따라 침해사고 조사 분석의 대상이 될 수 있습니다.
본 문서는 제가 개발한 FreeBSD환경의 메모리 포렌식 도구인 volafunx에 대한 소개와 각 기능이 어떤식으로 구현되었는지에 대한 정보를 획득할 수 있습니다.

제가 아는 지식을 기준으로 작성되어 있기 때문에 틀린 부분도 많을 것입니다. 많은 BSD 고수님들이 사랑의 태클(?)을 걸어주시면 문서의 퀄리티를 높이는데 큰 도움이 될 것 같습니다. ;)

문서는 지속적인 업데이트를 수행할 예정이며, 차 후 통합 메모리 포렌식 가이드로 이어나갈 생각을 하고 있습니다.
디지털 포렌식 기술을 이용하거나 연구하시는 분들에게 많은 도움이 되었으면 합니다. :)

다운로드(Ver. 1): Memory Forensics for FreeBSD

Windows Memory Forensic Tool

2011-01-17T07:57:00.002+09:00

본 포스팅은 스마트폰으로 작성하여 그 내용이 부실할수 있습니다.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
윈도우 메모리 포렌식툴은 지속적으로 발전하고있네요 오늘 아침에 대전가는길에 rss 포스팅을 보는 중에 sans에서 올라온 아티클에 자세한 내용이 있읍니다.

http://computer-forensics.sans.org/blog/2010/11/08/digital-forensics-howto-memory-analysis-mandiant-memoryze/comment-page-1/#comment-113

사실 연구실 내부에서도 현재 사용하는 대부분의 윈도우 운영체제의 메모리를 분석하는 도구가 존재함에도 공개되지 않다보니 대부분의 리서처들이 모르시더군요.

물론 기능비교가 필요하겠습니다만, 항상 이런걸보면 연구실을 알릴수있는 기회를 놓치는 것 같아 아쉬운 기분이듭니다.

Published with Blogger-droid v1.6.5

volafunx - Volafox for FreeBSD

2010-12-22T15:34:00.006+09:00

사실 예전 논문의 주제로 잡았던 Mac OS X 는 개인 데스크톱에서 많이 사용되지만, 서버시장을 바라보았을 땐 그 수요가 높지 않습니다. 이에 기업에서 사용하는 서버 시장에 이 기술을 적용해볼 수 있지 않을까해서 생각을 해보니 FreeBSD에 적용하면 그 사용 빈도가 더 높지 않을까란 생각이 들었습니다.

이러한 생각으로 volafox 의 물리 메모리 분석 기술을 OSX 의 컴포넌트 중 하나로 사용되는 BSD 에 적용하였습니다. 아무래도 Mac OS X의 데이터 추출도 대부분 BSD 컴포넌트에서 데이터를 추출하다보니 좀더 빠르게 구현할 수 있었습니다.

이름은 우선 volafunx 로 정하였는데요, 이는 차 후 통합되는 과정에서 변경될 수 있습니다.
volafox 를 기반으로 작성하였지만, 물리 메모리 분석에 중요한 프로세스 덤프가 먼저 추가가 되어 있기 때문에, 현재까지는 volafox 보다 사용하기는 더 좋다고 생각합니다. :)

volafunx 를 구동하면 다음과 같은 화면을 확인하실 수 있습니다.

n0fates-iMac:volafunx n0fate$ python volafunx.py

Memory analyzer for FreeBSD - n0fate
Contact: rapfer@gmail.com
usage: python volafunx.py -i MEMORY_IMAGE -s KERNEL_IMAGE -[o INFORMATION][-m module id][-x pid]

-= CAUTION =-
This program need to physical memory image, kernel image
It support to Intel x86 architecture

Option:
-o Gathering information using symbol information:
-m Dump module using module id
-x Dump process using pid

INFORMATION:
proc_info process list
syscall_info system call list (hooking detection)
lkm_info Loadable Kernel Module list

도구 다운로드: Volafox Code Google Site

volafunx는 중요 기술만 구현하였기 때문에 운영체제 버전 정보와 같은 부가적인 정보를 제공하지는 않습니다. 정말 악성코드 및 루트킷을 탐지하여 덤프하는데 중점을 둔 도구라 할 수 있습니다.(사실은 시간이 없었습니다 :-/ )

도구의 활용성을 보여드리기 위해 시스템에 vi 에디터를 열고 키를 작성한 후 해당 프로세스 영역만을 덤프하여 분석하는 것을 테스트 해보겠습니다. 우선 프로세스 목록을 확인하여 vi 프로세스를 확인하였습니다.

n0fates-iMac:volafunx n0fate$ python volafunx.py -i FreeBSD.vmem -s kernel -o proc_info
[+] Memory Image: FreeBSD.vmem
[+] Kernel Image: kernel
[+] Information: proc_info

-= process list =-
list_entry_next pid ppid process name username
c1946000 0 0 kernel
c1945aa0 1 0 initl root
c19452a8 2 0 g_event
c1945000 3 0 g_upl
c19b1550 4 0 g_down
c19b1000 5 0 xpt_thrd
c1946d48 6 0 fdc0l
c1946aa0 7 0 sctp_iterator
c1946550 8 0 pagedaemon
c19462a8 9 0 vmdaemon
c1945d48 10 0 audit
c19457f8 11 0 idlel
c1945550 12 0 intrl
c19b12a8 13 0 yarrow
c19467f8 14 0 usbel
c1c10d48 15 0 pagezero
c1c10aa0 16 0 bufdaemon
c1c107f8 17 0 syncer
c1c10550 18 0 vnlru
c1c102a8 19 0 softdepflush
c1c6daa0 20 0 flowcleaner
c1c6d7f8 448 11 devdl root
c19b1d48 563 11 syslogd root
c1c6e2a8 786 11 sshdl root
c19b1aa0 793 11 sendmailer root
c1c6d550 797 11 sendmailer root
c1c6d000 803 11 cronl root
c1c10000 854 11 getty root
c1c6d2a8 855 11 getty root
c1ea5550 856 11 getty root
c1ea52a8 857 11 getty root
c1ea5000 858 11 getty root
c1ea4d48 859 11 getty root
c1eeb2a8 860 11 getty root
c19b17f8 15214 11 login root
c1ea4000 15229 15214 bash root
c0d99b58 47686 15229 vih root
n0fates-iMac:volafunx n0fate$

빨간 줄로 그어진 것이 vi 의 프로세스입니다. 해당 프로세스 영역만을 메모리에서 덤프하겠습니다.

n0fates-iMac:volafunx n0fate$ python volafunx.py -i FreeBSD.vmem -s kernel -x 47686
[+] Memory Image: FreeBSD.vmem
[+] Kernel Image: kernel
[+] Dump PID: 47686
[+] Dump Process ID: 47686
[-] process name: vih
[-] vmspace: c194a740
[-] start: 1000
[-] end: bfc00000
[-] VAD CR3: c634f000
[-] PHYS CR3: 3cc5000
[+] END VAD DUMP LIST
[+] VAD DUMP START
[-] [DUMP] Image Name: vih-8048000-8092000
[-] [DUMP] Image Name: vih-8092000-8100000
[-] [DUMP] Image Name: vih-28092000-280c2000
[-] [DUMP] Image Name: vih-280c2000-280c4000
[-] [DUMP] Image Name: vih-280c4000-280d7000
[-] [DUMP] Image Name: vih-280d7000-28114000
[-] [DUMP] Image Name: vih-28114000-28117000
[-] [DUMP] Image Name: vih-28117000-28213000
[-] [DUMP] Image Name: vih-28213000-28219000
[-] [DUMP] Image Name: vih-28219000-2822f000
[-] [DUMP] Image Name: vih-28300000-28400000
[-] [DUMP] Image Name: vih-bfbe0000-bfc00000
[+] VAD DUMP COMPLETE
n0fates-iMac:volafunx n0fate$ ls -al

drwxrwxrwx 29 n0fate staff 986 12 22 15:29 .
drwx------+ 10 n0fate staff 340 12 22 14:08 ..
-rw-r--r--@ 1 n0fate staff 6148 12 22 15:29 .DS_Store
-rwxrwxrwx@ 1 n0fate staff 67108864 12 22 14:42 FreeBSD.vmem
-rwxrwxrwx 1 n0fate staff 2109 11 1 21:14 addrspace.py
-rwxr-xr-x 1 n0fate staff 2524 12 22 14:13 addrspace.pyc
-rwxrwxrwx 1 n0fate staff 5112 12 22 15:02 elf_an.py
-rwxr-xr-x 1 n0fate staff 4311 12 22 15:18 elf_an.pyc
-rwxrwxrwx 1 n0fate staff 11492703 11 1 20:53 kernel
-rwxrwxrwx 1 n0fate staff 11984864 12 21 16:26 lkm_kernel_dump
-rwxrwxrwx 1 n0fate staff 540 11 1 20:53 setup.py
-rwxrwxrwx 1 n0fate staff 2069036 11 2 19:12 symbol.txt
-rwxrwxrwx 1 n0fate staff 16542 11 2 15:29 syscall.txt
-rw-r--r-- 1 n0fate staff 122880 12 22 15:29 vih-28092000-280c2000
-rw-r--r-- 1 n0fate staff 8192 12 22 15:29 vih-280c2000-280c4000
-rw-r--r-- 1 n0fate staff 57344 12 22 15:29 vih-280c4000-280d7000
-rw-r--r-- 1 n0fate staff 229376 12 22 15:29 vih-280d7000-28114000
-rw-r--r-- 1 n0fate staff 12288 12 22 15:29 vih-28114000-28117000
-rw-r--r-- 1 n0fate staff 610304 12 22 15:29 vih-28117000-28213000
-rw-r--r-- 1 n0fate staff 24576 12 22 15:29 vih-28213000-28219000
-rw-r--r-- 1 n0fate staff 45056 12 22 15:29 vih-28219000-2822f000
-rw-r--r-- 1 n0fate staff 204800 12 22 15:29 vih-28300000-28400000
-rw-r--r-- 1 n0fate staff 253952 12 22 15:29 vih-8048000-8092000
-rw-r--r-- 1 n0fate staff 8192 12 22 15:29 vih-8092000-8100000
-rw-r--r-- 1 n0fate staff 32768 12 22 15:29 vih-bfbe0000-bfc00000
-rw-r--r-- 1 n0fate staff 10602 12 22 15:05 volafunx-0.1.zip
-rwxrwxrwx 1 n0fate staff 16793 12 22 15:04 volafunx.py
-rwxrwxrwx 1 n0fate staff 13846 11 1 21:14 x86.py
-rwxr-xr-x 1 n0fate staff 12837 12 22 14:13 x86.pyc
n0fates-iMac:volafunx n0fate$

덤프된 내용을 strings 로 확인해보겠습니다.

n0fates-iMac:volafunx n0fate$ strings vih-* | grep "secret key"

secret key: welcome to BSD world ;)

n0fates-iMac:volafunx n0fate$

올바르게 키가 나오는 것을 확인할 수 있습니다. 이러한 프로세스 덤프는  vi의 에디팅 흔적 뿐만 아니라, 사용자가 실행했던 명령어를  bash 를 덤프하여 확인하는 등 다양한 증거를 수집할 수 있습니다. :)

추가적으로 현재 오픈한 파일에 대한 목록 추출 및 해당 데이터 덤프를 구현할 예정인데 얼마나 걸릴지 모르겠네요. 현재 두 도구를 혼자서 하고 있다보니 시간이 좀 걸립니다.

다들 유용하게 사용해주셨으면 감사하겠습니다. 혹시나 좋은 코멘트가 있으시다면 지체없이 글 남겨주시기 바랍니다.

Time Machine Forensics [1]

2010-12-02T17:26:00.000+09:00

Mac OS X 는 'Time Machine'이라고 불리는 디스크 백업 유틸리티를 내장하고 있다.

스노우 레오파드를 처음 설치했다면, 타임머신은 기본적으로 비 활성화 되어있다. 타임머신은 USB, Firewire나 AFP(Apple File-transfer Protocol)을 지원하는 무선 네트워크를 가진 장치(타임캡슐)를 백업 디스크로 선택할 수 있도록 구성되어 있다.

포렌식 관점에서 타임머신의 구성을 확인하기 위해 하나의 USB 외장 디스크에 가상 머신을 생성하여 연결하였고, '백업 디스크로 지정'하여 총 6회 정도의 백업을 수행하였다. 백업 목적의 디스크는 처음에 디스크로 지정되면, 타임머신에서 사용할 수 있도록 디스크 이미지를 프로그램에 맞게 재 포맷을 수행한다.

이미징한 디스크는 Mac에서 쉽게 접근할 수 있도록 구성되어 있다. 처음 포맷을 수행할 때 타임 머신 관리자는 파일 시스템을 HFS Plus로 포맷한다. 내부에는 맥 운영체제로 인해 생성되는 파일 시스템 이벤트관련 디렉터리(.fseventsd)와 인덱스를 위한 디렉터리(.Spotlight-V100)이 ~~존재하며, '.HFS+ Private Directory Data_'와 '___HFS+ Private Data' 디렉터리를 추가적으로 가지고~~ 있다.
------------------------------------------------------------------------------------------------

forensic-iMac:Time Machine Backups n0fate$ ls -al
total 16
drwxrwxr-x 5 n0fate staff 408 Dec 2 16:58 .
drwxrwxrwt@ 5 root admin 170 Dec 2 16:57 ..
-rw-r--r--@ 1 n0fate staff 6148 Dec 2 16:58 .DS_Store
drwx------ 3 n0fate staff 102 Oct 23 18:47 .Spotlight-V100
d-wx-wx-wt 3 n0fate staff 102 Dec 2 16:57 .Trashes
-rw-r--r--@ 1 n0fate staff 0 Dec 2 16:57 .com.apple.timemachine.donotpresent
drwx------ 2 n0fate staff 102 Dec 2 16:58 .fseventsd
drwxr-xr-x+ 3 n0fate staff 136 Dec 2 12:38 Backups.backupdb
forensic-iMac:Time Machine Backups n0fate$

------------------------------------------------------------------------------------------------

우리가 원하는 실질적인 데이터는 'Backups.backupdb' 디렉터리에 존재할 것이니 해당 디렉터리에 직접 접근하면, 타임 머신을 연결한 시스템 이름의 디렉터리를 확인할 수 있다.

------------------------------------------------------------------------------------------------

forensic-iMac:Backups.backupdb n0fate$ ls -al

total 7

drwxr-xr-x+ 3 n0fate staff 136 Dec 2 12:38 .

drwxrwxr-x 5 n0fate staff 408 Dec 2 16:58 ..

drwxr-xr-x@ 9 n0fate staff 340 Dec 1 01:02 n0fate's MacBook Pro

forensic-iMac:Backups.backupdb n0fate$

------------------------------------------------------------------------------------------------

디렉터리에 접근하면 백업한 시점을 디렉터리 이름으로 설정하여 독립적인 백업 디렉터리를 생성하고, 가장 최근에 백업한 디렉터리를 'Lastest'로 심볼릭 링크를 걸어 접근할 수 있도록 되어 있다.

------------------------------------------------------------------------------------------------

forensic-iMac:n0fate's MacBook Pro n0fate$ ls -al

total 8

drwxr-xr-x@ 9 n0fate staff 340 Dec 1 01:02 .

drwxr-xr-x+ 3 n0fate staff 136 Dec 2 12:38 ..

drwxr-xr-x@ 3 n0fate staff 204 Oct 23 20:02 2010-10-23-200209

drwxr-xr-x@ 3 n0fate staff 204 Nov 6 22:44 2010-11-06-224436

drwxr-xr-x@ 3 n0fate staff 204 Nov 7 13:52 2010-11-07-135232

drwxr-xr-x@ 3 n0fate staff 204 Nov 7 14:41 2010-11-07-144113

drwxr-xr-x@ 3 n0fate staff 204 Nov 7 14:58 2010-11-07-145853

drwxr-xr-x@ 3 n0fate staff 204 Nov 22 00:19 2010-11-22-001900

drwxr-xr-x@ 3 n0fate staff 204 Dec 1 01:01 2010-12-01-010147

lrwxr-xr-x 1 n0fate staff 17 Dec 1 01:01 Latest -> 2010-12-01-010147

forensic-iMac:n0fate's MacBook Pro n0fate$

------------------------------------------------------------------------------------------------

그리고 내부로 접근하면 해당 시점에 Snow Leopard가 설치된 디스크를 이름으로 한 디렉터리가 나타나고 한 스텝 더 진행하면 타임 머신을 설정한 시스템의 루트 디렉터리와 동일한 정보를 지닌 파일이 나타난다.

------------------------------------------------------------------------------------------------

forensic-iMac:2010-12-01-010147 n0fate$ ls

SnowLeopardHDD

forensic-iMac:2010-12-01-010147 n0fate$ cd SnowLeopardHDD/

forensic-iMac:SnowLeopardHDD n0fate$ ls

Applications

Developer

...

usr

var

사용 설명서와 정보

forensic-iMac:SnowLeopardHDD n0fate$

------------------------------------------------------------------------------------------------

중요한 사실은 파일의 내용이 수정되지 않더라도 다음 타임 머신 백업 때 해당 파일을 다시 복사해서 보관하는 구조로 되어있다는 점이다. 이러한 사실은 타임 머신 백업 디스크에 한번이라도 백업을 수행했다거나, 한 시점의 디렉터리 구조가 살아 있다고 한다면, 주 시스템의 무결성을 해치지 않고서 논리적 관점에서 해당 디스크 정보를 획득한 것과 같은 효과를 얻을 수 있음을 의미한다.

타임머신은 한 번만 설정해두면, 자동으로 디스크의 변경 사항을 정해진 시간에 따라 백업을 수행하도록 되어있다. 이러한 특징을 이용하면, 현재 상태의 디스크에서 확인할 수 없는 삭제 파일에 대한 메타데이터 정보 및 파일의 내용을 타임 머신 디스크를 통해 확인할 수 있기 때문에, 삭제된 파일에 접근한다는 측면에서 포렌식 적으로 유용한 정보가 될 수 있다.

또 다른 관점에서, 만약 해당 시스템의 무결성을 고려하지 않고 논리적으로 데이터를 수집하고 싶다면, 별도의 스크립트를 사용할 필요 없이 외장 디스크만을 연결하여 디스크의 전체 내용을 논리적으로 수집하는 것도 생각해볼 수 있다. 이러한 수집을 콘솔에서 수행하기 위해서는 다음 명령어를 입력하면 된다.

------------------------------------------------------------------------------------------------

"/System/Library/CoreServices/backupd.bundle/Contents/Resources/backupd-helper &"

------------------------------------------------------------------------------------------------

현재까지 확인한 부분은 이정도이다. 단 위에서 줄로 그은 몇몇 디렉터리가 윈도우의 Mac Drive 어플리케이션에서만 보이는 관계로 저 부분이 본래 존재하는지에 대한 것을 추가적으로 확인할 필요가 있다. 이러한 부분에 대해서는 좀더 삽질해보고 포스팅하도록 하겠다. :)

DFRC DC3 Challenge Grand Champion!

2010-12-02T08:34:00.004+09:00

DC3 Chllenge 2010에 DFRC가 전체 순위(Overall) 1위로 우승하였네요. 참고로 이 대회는 미 국방성에서 주최하는 전세계를 대상으로하는 디지털 포렌식 대회로 이번년도에는 File Format Analysis, Steganography, Cryto, Reverse Engineering, Programming, Vulnerability Analysis, Packet Analysis등 다양한 분야에서 문제가 출제되었습니다.

본의 아니게 말레이시아로 관광 다녀올 수도 있게 되었네요 ;) (물론 회사 사정에 따라 다르겠지만요.)

사실 이번엔 500번 문제 대부분이 도구 구현이라, 문제가 왜이러나 싶었는데, 역시 그걸 반영이라도 하듯 전체적인 점수가 도구 구현까지 한 저희 팀과 2배 정도 차이가 나는게 보이네요. 개인적으론 내년 문제에는 도구 구현보다는 조금 더 분석 쪽에 치중한 문제가 나왔으면 하는 바램이 있습니다.

참고로 LittleTree 팀도 국내 팀인데 저희가 모르는 팀입니다. 축하드려요 :)

기한이 길었던 만큼 (2010년 초 ~ 2010년 10월 31일) 문제의 범위도 넓고, 문제의 수도 상당했는데, 여러 프로젝트가 겹치는 와중에도 다들 열심히 해주어서 고마울뿐입니다. 전 사실 밥상에 숟가락만 올렸기 때문에;

공식 홈페이지를 통해 저희가 올린 풀이가 공개될지 모르겠지만, 최종 점수도 나왔으니, 이제 풀이를 하나하나 이곳에 올려 보도록 하겠습니다.

Status: http://www.dc3.mil/challenge/2010/stats/winners.php

volafox 0.5 Beta

2010-10-31T11:49:00.007+09:00

Mac OS X의 물리 메모리 분석 도구인 'volafox'를 공개하였습니다.

일단 구글 프로젝트로 생성하였고 그곳에 패키지와 슬라이드를 업로드하였으니 참조하시면 됩니다.

사이트는 http://code.google.com/p/volafox/ 여기가 되겠고요.

코드가 정리 안된 상태로 올려서 많이 허접합니다. 깔끔하게 정리한번 해야할텐데 말이죠 :)

지속적으로 업데이트할 계획이니 좋은 아이디어 있으면 코멘트 부탁드리겠습니다.

추가적으로 예제 데이터도 생성 하였으니 확인해주세요~

아이콘은 deviantart에 있는걸 임시로 쓰고 있는데 라이센스 걸리는거 아닐까 걱정되네요-_-;

Windows Authenticode PE Format

2010-09-03T00:17:00.001+09:00

윈도우 운영체제는 PE파일의 무결성을 입증하기 위한 방법 중 하나로 PE파일 내부에 Authenticode를 삽입하는 방식을 제공한다.

일반적으로 공식사이트에서 제공하는 장치 드라이버나 메이저 벤더에서 제공하는 소프트웨어의 디바이스 드라이버는 마이크로소프트의 디지털서명을 받아 자신들의 드라이버의 무결성을 증명하기도 하며, 윈도우 운영체제도 서명되지 않은 드라이버는 사용자에게 경고 메시지를 띄워서 시스템이 손상될 수 있음을 알려준다.

본 포스팅에서는 실질적으로 디지털 서명이 되어있는 하나의 파일을 이용하여 인증서의 존재 및 유효성을 검증하는 방법을 확인해보도록 하겠다.

Windows XP환경의 다음 경로의 파일은 디지털 서명이 되어있다.

Path: C:\WINDOWS\system32\drivers\vmci.sys

서명 여부를 확인하는 가장 간단한 방법은 파일의 속성을 확인하는 방법이다.

파일을 헥사에디터로 확인해보면 정해진 PE파일포맷 이후에 추가적으로 임의의 섹션이 붙은 것을 확인할 수 있으며, 인증서포맷 데이터임을 확인할 수 있다.

디지털 서명테이블은 PE파일 상의 'DataDirectory' 내부의 'Certificate Table'가 가리키고 있으며, 문서에 나온 그림을 보면 다음과 같다.

Windows Authenticode Portable Executable Signature Format

세부적인 파일포맷은 해당 문서나 AuthentiCode로 구글 검색을 하면 포맷파싱 소스를 구할 수 있다.

PE Explorer는 이 테이블의 인증서들을 파싱하여 정보를 손쉽게 볼 수 있도록 한다.

인증서의 유효성을 검증하기 위한 가장 편리한 방법은 WinVerifyTrust API를 이용하는 방법이다. 이 방법은 윈도우 운영체제의 인증서 유효성 검증과 동일한 흐름을 통해 인증서의 유효성을 증명할 수 있기 때문에, 일반적으로 프로그램에 코드 서명 검증 루틴을 넣고 싶을 때 이용할 수 있다.

아래는 Microsoft에서 제공하는 예제코드이다. 첫 번째 인자로 받은 PE파일의 유효성을 검증한다.

//-------------------------------------------------------------------
// Copyright (c) Microsoft Corporation.  All rights reserved.
// Example of verifying the embedded signature of a PE file by using 
// the WinVerifyTrust function.

#define _UNICODE 1
#define UNICODE 1

#include 
#include 
#include 
#include 
#include 
#include 
#include 

// Link with the Wintrust.lib file.
#pragma comment (lib, "wintrust")

BOOL VerifyEmbeddedSignature(LPCWSTR pwszSourceFile)
{
    LONG lStatus;
    DWORD dwLastError;

    // Initialize the WINTRUST_FILE_INFO structure.

    WINTRUST_FILE_INFO FileData;
    memset(&FileData, 0, sizeof(FileData));
    FileData.cbStruct = sizeof(WINTRUST_FILE_INFO);
    FileData.pcwszFilePath = pwszSourceFile;
    FileData.hFile = NULL;
    FileData.pgKnownSubject = NULL;

    /*
    WVTPolicyGUID specifies the policy to apply on the file
    WINTRUST_ACTION_GENERIC_VERIFY_V2 policy checks:
    
    1) The certificate used to sign the file chains up to a root 
    certificate located in the trusted root certificate store. This 
    implies that the identity of the publisher has been verified by 
    a certification authority.
    
    2) In cases where user interface is displayed (which this example
    does not do), WinVerifyTrust will check for whether the  
    end entity certificate is stored in the trusted publisher store,  
    implying that the user trusts content from this publisher.
    
    3) The end entity certificate has sufficient permission to sign 
    code, as indicated by the presence of a code signing EKU or no 
    EKU.
    */

    GUID WVTPolicyGUID = WINTRUST_ACTION_GENERIC_VERIFY_V2;
    WINTRUST_DATA WinTrustData;

    // Initialize the WinVerifyTrust input data structure.

    // Default all fields to 0.
    memset(&WinTrustData, 0, sizeof(WinTrustData));

    WinTrustData.cbStruct = sizeof(WinTrustData);
    
    // Use default code signing EKU.
    WinTrustData.pPolicyCallbackData = NULL;

    // No data to pass to SIP.
    WinTrustData.pSIPClientData = NULL;

    // Disable WVT UI.
    WinTrustData.dwUIChoice = WTD_UI_NONE;

    // No revocation checking.
    WinTrustData.fdwRevocationChecks = WTD_REVOKE_NONE; 

    // Verify an embedded signature on a file.
    WinTrustData.dwUnionChoice = WTD_CHOICE_FILE;

    // Default verification.
    WinTrustData.dwStateAction = 0;

    // Not applicable for default verification of embedded signature.
    WinTrustData.hWVTStateData = NULL;

    // Not used.
    WinTrustData.pwszURLReference = NULL;

    // Default.
    WinTrustData.dwProvFlags = WTD_SAFER_FLAG;

    // This is not applicable if there is no UI because it changes 
    // the UI to accommodate running applications instead of 
    // installing applications.
    WinTrustData.dwUIContext = 0;

    // Set pFile.
    WinTrustData.pFile = &FileData;

    // WinVerifyTrust verifies signatures as specified by the GUID 
    // and Wintrust_Data.
    lStatus = WinVerifyTrust(
        NULL,
        &WVTPolicyGUID,
        &WinTrustData);

    switch (lStatus) 
    {
        case ERROR_SUCCESS:
            /*
            Signed file:
                - Hash that represents the subject is trusted.

                - Trusted publisher without any verification errors.

                - UI was disabled in dwUIChoice. No publisher or 
                    time stamp chain errors.

                - UI was enabled in dwUIChoice and the user clicked 
                    "Yes" when asked to install and run the signed 
                    subject.
            */
            wprintf_s(L"The file \"%s\" is signed and the signature "
                L"was verified.\n",
                pwszSourceFile);
            break;
        
        case TRUST_E_NOSIGNATURE:
            // The file was not signed or had a signature 
            // that was not valid.

            // Get the reason for no signature.
            dwLastError = GetLastError();
            if (TRUST_E_NOSIGNATURE == dwLastError ||
                    TRUST_E_SUBJECT_FORM_UNKNOWN == dwLastError ||
                    TRUST_E_PROVIDER_UNKNOWN == dwLastError) 
            {
                // The file was not signed.
                wprintf_s(L"The file \"%s\" is not signed.\n",
                    pwszSourceFile);
            } 
            else 
            {
                // The signature was not valid or there was an error 
                // opening the file.
                wprintf_s(L"An unknown error occurred trying to "
                    L"verify the signature of the \"%s\" file.\n",
                    pwszSourceFile);
            }

            break;

        case TRUST_E_EXPLICIT_DISTRUST:
            // The hash that represents the subject or the publisher 
            // is not allowed by the admin or user.
            wprintf_s(L"The signature is present, but specifically "
                L"disallowed.\n");
            break;

        case TRUST_E_SUBJECT_NOT_TRUSTED:
            // The user clicked "No" when asked to install and run.
            wprintf_s(L"The signature is present, but not "
                L"trusted.\n");
            break;

        case CRYPT_E_SECURITY_SETTINGS:
            /*
            The hash that represents the subject or the publisher 
            was not explicitly trusted by the admin and the 
            admin policy has disabled user trust. No signature, 
            publisher or time stamp errors.
            */
            wprintf_s(L"CRYPT_E_SECURITY_SETTINGS - The hash "
                L"representing the subject or the publisher wasn't "
                L"explicitly trusted by the admin and admin policy "
                L"has disabled user trust. No signature, publisher "
                L"or timestamp errors.\n");
            break;

        default:
            // The UI was disabled in dwUIChoice or the admin policy 
            // has disabled user trust. lStatus contains the 
            // publisher or time stamp chain error.
            wprintf_s(L"Error is: 0x%x.\n",
                lStatus);
            break;
    }

    return true;
}

int _tmain(int argc, _TCHAR* argv[])
{
    if(argc > 1)
    {
        VerifyEmbeddedSignature(argv[1]);
    }

    return 0;
}

간단하지만 생각보다 찾기가 힘들었다. 현재 PE분석 모듈을 구성하고 있는데, 이 부분까지 고려해서 재 구성해봐야겠다.

2010 Workshop of Digital Forensics

2010-08-18T13:26:00.000+09:00

올해도 여김없이 디지털포렌식워크샵을 고려대학교에서 개최합니다.

올해는 작년보다 전시장이나 컨퍼런스 장소가 더 좋아져서 기대되는군요 :)

주최 : 한국디지털포렌식학회, 한국정보보보학회
주관 : 고려대학교 정보보호연구원 디지털포렌식연구센터
후원 : 한국저작권위원회, 징코스테크놀러지, WildPackets 한국지사, 명정보기술,
이스턴웨어, 포앤식스테크, 더존정보보호서비스, 나브콤, 인정보
일시 : 2010년 8월 25일
장소 : 고려대학교 하나스퀘어

한컴 hwp 포맷 공개

2010-07-01T10:52:00.002+09:00

'한글과컴퓨터' 에서 hwp문서의 포맷을 완전 공개했네요.

그간 한글은 doc지원하는데 타 에디터는 hwp 지원 안된다고 호환성 떨어진다고 욕도 많이 먹었는데,

사실 한컴은 doc를 역분석해서 제작한 것으로 알고 있습니다. 노력의 산물이죠..

여튼 한글2010 UI도 상당히 마음에 들던데, 포맷 공개까지 하고, 대단한 결정을 한 것 같습니다.

포맷도 공개 되었으니 이제 MAC용 뷰어라도 좀 나오려나요 :)

자세한 스펙문서는 아래 주소를 참조하세요 :)

http://www.hancom.co.kr/downLoad.downView.do?targetRow=1&seqno=3202&mcd_save=005

2010 4th CodeEngn Reverse Engineering Conference

2010-06-14T12:23:00.002+09:00

Address: http://codeengn.com/ce2010

코드엔진에서 주최하는 리버싱 관련 컨퍼런스가 올해에도 개최하네요

작년에 상당히 재미있게 봐서 올해도 기대가 되는 컨퍼런스입니다.

물론 학내 행사로 인해 못갈 확률이 상당히 높지만,

리버싱에 관심은 있지만 실력이 떨어지시는 분들, 보안 종사자들과 인맥을 다지고 싶으신 분들은 꼭 접해보셨으면 합니다. :)

Program
Speaker : 심준보 / passket / @passket / passket.tistory.com
Title : Taint analysis for vulnerability discovery
Content :

Speaker : 김은수 / hahah / @hah4h / beist.org
Title : Defcon 18 CTF 문제풀이
Content :

Speaker : 강병탁 / window31 / @window31com / window31.com
Title : Art of Keylogging - 키보드보안과 관계없는 키로거들
Content :

Speaker : Max
Title : Fighting against Botnet
Content : 사이버 전쟁의 대표적 공격 무기가 되어버린 봇넷은 네트워크가 점점 초고속화되고, 복잡해진 상황속에서 7.7 DDoS와 같은 DDoS 공격, 인터넷 계정이나 금융 정보등과 같은 개인 정보 유출 등이 봇넷을 통해 이루어지고 있는 상황이다. 이에 해당 주제 발표에서는 실제 사이버상에서 운영되고 있는 봇넷들을 분석해 보며, 그들의 추구하는 봇넷 비즈니스 모델을 찾아보려 한다. 또한, 봇넷의 설계, 운영, 관리, 대응에 관한 시연 그리고 봇넷들간의 전쟁에 대해 이야기하고자 한다.

자세한 내용은 맨 위의 주소로 가시면 볼 수 있습니다. :)

Mac Forensics 최근 동향

2010-06-11T13:41:00.005+09:00

3월 초 코드게이트를 하면서 @beist님과 @flee74님의 맥북을 보고 지르게된 MacBook Pro!!

물론 지름신도 있었지만, Mac OS라는 환경을 알아두면 나중에 많이 도움이 될 것 같아서 구매했었다.

그리고 지금은 나의 졸업 논문 또한 맥과 관련된 페이퍼를 생각하고 있을 정도로 나에게 또다른 재미를 안겨주고 있다.

정보를 찾다보면, Mac OS과 관련된 포렌식 이슈는 많진 않지만 간간히 올라오고 있는 것 같다.

외국에선 생각보다 많은 사람들이 MacBook을 사용해서도 있고, 최근 아이폰과 아이패드 이슈와 맞물려서 자연스레 생긴 분위기인 것 같다.

(참고로 beist님도 관점은 다르지만 Mac OS의 보안 이슈에 대해 연구하는 것으로 알고 있다. 아님 뭐.. :p )

MAC OS X 시스템 조사 시 분석 부분에 대해서는 purdue university에서 올라온 페이퍼가 내용이 부족한 면이 없잖아 있지만 괜찮았다.

MAC Forensics: HFS+ File System

이 내용을 기준으로 몇몇 MAC의 포렌식 이슈에 대해 세미나를 한 적이 있어서 해당 문서도 첨부하였다.

Mac의 보안 이슈 및 분석 방법 - Slide

지금까지 알아본 바에 의하면 MAC OS의 파일시스템 부분이나 카빙에 대해서는 어느정도 진행이 된 것 같다. 이는 HFS+ 자체 포맷이 오픈되어 있다고 봐도 무방할 정도이기 때문이다.

HFS+ Volume Format - Apple

하지만 라이브시스템에서 수집 방법론이 정리된 페이퍼는 아직 못했다.

메모리 이슈와 관련되어서도 FireWire를 통한 수집이 2005년 CanSecWest에서 발표되었고, 그 후엔 딱히 새로운 방법이 연구된 것은 없는 것 같다.

메모리 분석의 경우 최근 블랙햇의 메모리 분석과 관련된 문서 정도인 것 같다.

Advanced Mac OS X Memory Forensics

그래도 악성코드 분석에 대해서는 어느정도 볼만한 자료가 있다. 그 중에 하나를 추천하자면, Startup Paper로 SANS의 문서를 추천한다.

MAC OS X Malware Analysis

google scholar를 통해 검색하면, 이 외에도 MAC OS X Rootkit이나 다른 다양한 Malware 이슈들을 검색할 수 있을 것이다.

지금은 졸리므로, 다음 번엔 좀 더 세부적으로 이슈들에 대해 하나씩 글을 써보려고 한다.

CodeGate 2010 CTF Final Challenge 3

2010-06-03T00:10:00.010+09:00

Problem: You must recover files from a raw data.
Analyze to make the best use of physical memory dump for the suspicious files.
Summary: Memory Forensics & File Carving
Answer: IL0v3Cr4cker

이 문제는 Memory분석을 통해 암호화된 파일의 패스워드를 푸는 문제이다.
제한된 본선 시간을 생각했을 때 단순히 메모리를 Strings로 풀어서 하는 것은 불가능하다.
우선 문제에는 두 파일이 있다.

-rwxrwxrwx 1 n0fate staff 21840348 Apr 6 22:21 7EF57D98E9542B87E729D396B5A3308A
-rwxrwxrwx 1 n0fate staff 3219124224 Apr 6 22:29 CDA826F2C93C56646863FFECAEA58EC8

파일용량 상 7EF57D98E9542B87E729D396B5A3308A는 비할당영역의 데이터로보이며,
CDA826F2C93C56646863FFECAEA58EC8는 메모리 이미지로 판단된다.

우선 7EF57D98E9542B87E729D396B5A3308A를 카빙하여 데이터를 확인하였다.

n0fate:Forensics1300 n0fate$ foremost 7EF57D98E9542B87E729D396B5A3308A
foremost: /usr/local/etc: No such file or directory
Processing: 7EF57D98E9542B87E729D396B5A3308A
|*|
n0fate:output n0fate$ cat audit.txt
Foremost version 1.5.4 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Wed Jun 2 23:29:39 2010
Invocation: foremost 7EF57D98E9542B87E729D396B5A3308A
Output directory: /Users/n0fate/CodeGate2010_Final/Forensics1300/output
Configuration file: /usr/local/etc
------------------------------------------------------------------
File: 7EF57D98E9542B87E729D396B5A3308A
Start: Wed Jun 2 23:29:39 2010
Length: Unknown
Num Name (bs=512) Size File Offset Comment
0: 00000059.jpg 23 KB 30332
1: 00000107.jpg 31 KB 54908
2: 00000171.jpg 27 KB 87676
3: 00000227.jpg 20 KB 116348
4: 00000275.jpg 41 KB 140924
5: 00000363.jpg 18 KB 185980
6: 00000403.jpg 22 KB 206460
*
*
*
290: 00005803.pdf 374 KB 2971260 (PDF is Linearized)
291: 00006555.pdf 366 KB 3356284 (PDF is Linearized)
292: 00007291.pdf 149 KB 3733116
293: 00007595.pdf 859 KB 3888764
Finish: Wed Jun 2 23:29:42 2010
294 FILES EXTRACTED
jpg:= 53
bmp:= 1
ole:= 10
zip:= 15
rar:= 9
exe:= 5
png:= 193
mpg:= 2
pdf:= 6
------------------------------------------------------------------
Foremost finished at Wed Jun 2 23:29:42 2010
n0fate:output n0fate$

상당히 많은 파일이 나왔다. 실제로 하나하나 확인해서 의심가는 파일을 판단할 수도 있지만, 메모리를 이용하라는 문제의 특성 상 패스워드 유추하는 문제가 나올 가능성이 가장 높다. (사실 포렌식 관련 연구를 하지 않았다면 이런 판단은 상당히 하기 힘들 수 있다.) 그래서 메모리 분석 도구를 이용하여 의심가는 파일들을 축소시켜보았다. 도구로는 Volatility를 이용하였다.

Site: https://www.volatilesystems.com/default/volatility

n0fate:Forensics1300 n0fate$ cp /Users/n0fate/Downloads/Volatility-1.3_Beta.tar.gz .
n0fate:Forensics1300 n0fate$ tar xvzf Volatility-1.3_Beta.tar.gz
x Volatility-1.3_Beta
n0fate:Forensics1300 n0fate$ mv CDA826F2C93C56646863FFECAEA58EC8 Volatility-1.3_Beta
n0fate:Forensics1300 n0fate$ cd Volatility-1.3_Beta
n0fate$ python volatility pslist -f CDA826F2C93C56646863FFECAEA58EC8
/Users/n0fate/CodeGate2010_Final/Forensics1300/Volatility-1.3_Beta/forensics/win32/crashdump.py:31:
DeprecationWarning: the sha module is deprecated; use the hashlib module instead
import sha

Name Pid PPid Thds Hnds Time
System 4 0 87 1262 Thu Jan 01 00:00:00 1970
smss.exe 1124 4 3 19 Tue Apr 06 11:26:25 2010
csrss.exe 1200 1124 13 803 Tue Apr 06 11:26:30 2010
winlogon.exe 1240 1124 24 542 Tue Apr 06 11:26:35 2010
services.exe 1284 1240 15 328 Tue Apr 06 11:26:35 2010
lsass.exe 1296 1240 22 404 Tue Apr 06 11:26:35 2010
ati2evxx.exe 1504 1284 4 92 Tue Apr 06 11:26:36 2010
svchost.exe 1520 1284 21 222 Tue Apr 06 11:26:36 2010
svchost.exe 1580 1284 11 346 Tue Apr 06 11:26:37 2010
svchost.exe 408 1284 76 1516 Tue Apr 06 11:26:37 2010
svchost.exe 460 1284 5 108 Tue Apr 06 11:26:38 2010
ati2evxx.exe 504 1240 5 108 Tue Apr 06 11:26:38 2010
svchost.exe 760 1284 6 85 Tue Apr 06 11:26:38 2010
svchost.exe 1184 1284 12 174 Tue Apr 06 11:26:38 2010
spoolsv.exe 1668 1284 11 127 Tue Apr 06 11:26:39 2010
sched.exe 1708 1284 8 160 Tue Apr 06 11:26:39 2010
explorer.exe 2032 1936 18 681 Tue Apr 06 11:26:40 2010
atiptaxx.exe 828 2032 2 104 Tue Apr 06 11:26:44 2010
vmware-tray.exe 848 2032 3 41 Tue Apr 06 11:26:44 2010
avgnt.exe 868 2032 5 95 Tue Apr 06 11:26:44 2010
ctfmon.exe 920 2032 1 247 Tue Apr 06 11:26:45 2010
DTLite.exe 932 2032 2 93 Tue Apr 06 11:26:45 2010
wcescomm.exe 952 2032 2 127 Tue Apr 06 11:26:45 2010
RocketDock.exe 1036 2032 4 228 Tue Apr 06 11:26:45 2010
rapimgr.exe 1640 1520 3 127 Tue Apr 06 11:26:47 2010
Launchy.exe 1736 2032 2 187 Tue Apr 06 11:26:47 2010
Dropbox.exe 1744 2032 14 381 Tue Apr 06 11:26:47 2010
avguard.exe 412 1284 27 102 Tue Apr 06 11:27:02 2010
hasplms.exe 1884 1284 7 92 Tue Apr 06 11:27:06 2010
jqs.exe 1020 1284 5 161 Tue Apr 06 11:27:11 2010
ntrNTService.ex 1368 1284 1 24 Tue Apr 06 11:27:13 2010
AutoPatcher.exe 1376 1368 0 -1 Tue Apr 06 11:27:13 2010
vmnat.exe 968 1284 3 59 Tue Apr 06 11:27:14 2010
vmnetdhcp.exe 724 1284 2 38 Tue Apr 06 11:27:15 2010
vmware-authd.ex 2556 1284 7 212 Tue Apr 06 11:27:30 2010
alg.exe 3028 1284 5 104 Tue Apr 06 11:27:48 2010
Neturo.exe 3060 1368 1 55 Tue Apr 06 11:27:49 2010
NateOnMain.exe 2972 2904 23 418 Tue Apr 06 11:28:01 2010
firefox.exe 3280 2032 26 371 Tue Apr 06 11:30:00 2010
iexplore.exe 2308 2032 10 349 Tue Apr 06 11:30:06 2010
iexplore.exe 2616 2308 17 590 Tue Apr 06 11:30:08 2010
opera.exe 1068 2032 12 301 Tue Apr 06 11:30:22 2010
eclipse.exe 4004 1036 24 570 Tue Apr 06 11:30:28 2010
procexp.exe 4016 1036 4 292 Tue Apr 06 11:30:28 2010
OpenCapture.exe 856 1036 3 173 Tue Apr 06 11:30:32 2010
PEiD.exe 2272 1036 1 47 Tue Apr 06 11:30:34 2010
filezilla.exe 244 1036 3 133 Tue Apr 06 11:30:35 2010
ResHacker.exe 1868 1036 1 55 Tue Apr 06 11:30:38 2010
TweetDeck.exe 2052 2032 9 383 Tue Apr 06 11:31:54 2010
EnCase.exe 2176 2032 2 144 Tue Apr 06 11:31:56 2010
OUTLOOK.EXE 2160 2032 17 2105 Tue Apr 06 11:32:08 2010
vmware.exe 2192 2032 11 420 Tue Apr 06 11:32:15 2010
vmware-vmx.exe 216 2192 7 417 Tue Apr 06 11:32:40 2010
vmware-vmx.exe 3252 2192 7 388 Tue Apr 06 11:32:42 2010
vmware-vmx.exe 3432 2192 8 414 Tue Apr 06 11:32:43 2010
vmware-vmx.exe 4072 2192 7 407 Tue Apr 06 11:32:44 2010
cmd.exe 1772 2032 1 36 Tue Apr 06 11:36:44 2010
conime.exe 2960 1772 1 51 Tue Apr 06 11:36:47 2010
notepad++.exe 3548 2032 0 -1 Tue Apr 06 11:38:16 2010
notepad++.exe 3140 2032 1 66 Tue Apr 06 11:38:51 2010
Deploy.exe 2592 3020 2 68 Tue Apr 06 11:40:50 2010
WinRAR.exe 3556 2032 6 169 Tue Apr 06 11:41:47 2010
win32dd.exe 2964 1772 1 22 Tue Apr 06 11:42:23 2010
cmd.exe 840 2592 1 34 Tue Apr 06 11:42:30 2010
devenv.com 3616 840 1 21 Tue Apr 06 11:42:32 2010
devenv.exe 2108 3616 1 351 Tue Apr 06 11:42:32 2010

n0fate:Volatility-1.3_Beta n0fate$

메모리를 DD로 덤프한 흔적부터 다양한 프로세스목록을 확인할 수 있었다. 재밌는건 foremost로 덤프한 파일 중 패스워드를 저장하는 파일에서 메모리의 프로세스목록에 나온 것과 일치하는 것은 WinRAR만 존재한다는 점이다.
이점을 확인하고 우선 RAR파일 중 암호화된 파일만 걸러내었다.

n0fate:rar n0fate$ unrar x 00039387.rar
UNRAR 3.93 freeware Copyright (c) 1993-2010 Alexander Roshal
Extracting from 00039387.rar
Enter password (will not be echoed) for win32.hlp:
Extracting win32.hlp 98%
Encrypted file: CRC failed in win32.hlp (password incorrect ?)
Total errors: 1

rar파일 중 유일하게 암호가 걸린 파일이다. 메모리 파일에서 패스워드를 알아내기 위해 WinRAR.exe프로세스의 메모리 영역만을 뽑아내었다. 이는 프로세스 구조체에 등록된 페이지테이블엔트리 주소를 통해 알아낼 수 있다. 물론 Volatility에서 이 기능을 지원하기 때문에 쉽게 메모리 영역을 추출해낼 수 있다.

n0fate:Volatility-1.3_Beta n0fate$ python volatility vaddump -f CDA826F2C93C56646863FFECAEA58EC8 -p 3556 -d WINRAR
/Users/n0fate/CodeGate2010_Final/Forensics1300/Volatility-1.3_Beta/forensics/win32/crashdump.py:31: DeprecationWarning: the sha module is deprecated; use the hashlib moduleinstead
import sha
************************************************************************
Pid: 3556
n0fate:Volatility-1.3_Beta n0fate$ cd WINRAR/n0fate:WINRAR n0fate$ lsWinRAR.exe.93acaa8.00010000-00010fff.dmpWinRAR.exe.93acaa8.00020000-00020fff.dmpWinRAR.exe.93acaa8.00030000-0012ffff.dmpWinRAR.exe.93acaa8.00130000-00132fff.dmpWinRAR.exe.93acaa8.00140000-00141fff.dmpWinRAR.exe.93acaa8.00150000-0024ffff.dmpWinRAR.exe.93acaa8.00250000-0025ffff.dmpWinRAR.exe.93acaa8.00260000-0026ffff.dmpWinRAR.exe.93acaa8.00270000-00285fff.dmpWinRAR.exe.93acaa8.00290000-002d0fff.dmpWinRAR.exe.93acaa8.002e0000-00320fff.dmpWinRAR.exe.93acaa8.00330000-00335fff.dmpWinRAR.exe.93acaa8.00340000-00380fff.dmpWinRAR.exe.93acaa8.00390000-0039ffff.dmpWinRAR.exe.93acaa8.003a0000-003a2fff.dmpWinRAR.exe.93acaa8.003b0000-
*
*
*
*
7d1d6fff.dmpWinRAR.exe.93acaa8.7e410000-7e4a0fff.dmpWinRAR.exe.93acaa8.7f6f0000-7f7effff.dmpWinRAR.exe.93acaa8.7ffa0000-7ffd2fff.dmpWinRAR.exe.93acaa8.7ffd8000-7ffd8fff.dmpWinRAR.exe.93acaa8.7ffda000-7ffdafff.dmpWinRAR.exe.93acaa8.7ffdb000-7ffdbfff.dmpWinRAR.exe.93acaa8.7ffdc000-7ffdcfff.dmpWinRAR.exe.93acaa8.7ffdd000-7ffddfff.dmpWinRAR.exe.93acaa8.7ffde000-7ffdefff.dmpWinRAR.exe.93acaa8.7ffdf000-7ffdffff.dmp
n0fate:WINRAR n0fate$
n0fate:WINRAR n0fate$ strings * > string/result.txt
strings: can't map file: string (Invalid argument)
n0fate:WINRAR n0fate$ cd string/n0fate:string
n0fate$ ls -al
total 1992
drwxr-xr-x 3 n0fate staff 102 Jun 3 00:00 .
drwxr-xr-x 151 n0fate staff 5134 Jun 2 23:59 ..
-rw-r--r-- 1 n0fate staff 1018496 Jun 3 00:00 result.txt
n0fate:string n0fate$

결과파일을 winrar cracking도구의 사전 파일로 넣거나, 1메가기 때문에 직접 확인해도 된다. 실제로 문자열 중에 'M4J3ST0UCH'가 패스워드로 사용되었다.

n0fate:rar n0fate$ unrar x 00039387.rar
UNRAR 3.93 freeware Copyright (c) 1993-2010 Alexander Roshal
Extracting from 00039387.rar
Enter password (will not be echoed) for win32.hlp:
Extracting win32.hlp OK All OKn0fate:rar n0fate$ file win32.hlp
win32.hlp: PNG image data, 688 x 292, 8-bit/color RGB, non-interlacedn0fate:rar
n0fate$ mv win32.hlp win32.png
n0fate:rar n0fate$

이미지 파일은 아래와 같다.

이 문제는 실제로 메모리 포렌식 기술을 알아야 풀 수 있는 문제이다. 물론 sutegoma2팀의 경우 직접 3.2기가의 메모리를 strings한 대략 500메가의 데이터를 눈으로 봐서 푸는 경이로운 능력을 보여줬지만 말이다 :p

예전 암호화를 지원하는 프로그램들은 프로세스가 종료되도 메모리에 암호화에 사용된 패스워드가 남는 경우가 많지만, 최근의 도구들은 프로세스 종료 후에 없애거나 또는 애초에 암호화 후 바로 없애버리고 있다. WinRaR의 경우 프로세스가 종료되지 않는 이상 패스워드가 남기 때문에, 이런 지식을 가지고 있다면, 포렌식 조사 시 암호화된 파일의 해독 시간을 많이 감소시킬 수 있다.

- 문제에 사용된 파일은 메일로 요청 시 보내드리도록 하겠습니다. 메일을 보내실 분들은 블로그 상단의 'Contact Me'를 눌러주시기 바랍니다.

Defcon 18 - Crypto 400

2010-05-29T21:48:00.001+09:00

Type: Crypto

Point: 400

Question: crackme

Summary: RSA 768 bits crack

Answer: how long until 1024 falls by the wayside?

이 문제는 RSA 1월 초에 발표된 깨진 768비트 키를이용하는 공격이다.

이에 대한 Paper는 아래에 올려두었다.

006.pdf

우선 문제의 파일은 아래와 같다.

c400_95bcb7c5807a366d.gz

아래와 같은 방법으로 풀 수 있었다.

n0fate:Desktop n0fate$ mkdir c400

n0fate:Desktop n0fate$ cp defcon18/c400_95bcb7c5807a366d.gz c400

n0fate:Desktop n0fate$ cd c400

n0fate:c400 n0fate$ tar xvzf c400_95bcb7c5807a366d.gz

x blob.dat

x pubkey.pem

n0fate:c400 n0fate$ file *

blob.dat: data

c400_95bcb7c5807a366d.gz: gzip compressed data, was "c400_95bcb7c5807a366d", from Unix, last modified: Sun May 23 12:17:36 2010

pubkey.pem: ASCII text

n0fate:c400 n0fate$ cat pubkey.pem

-----BEGIN RSA PUBLIC KEY-----

MGgCYQDK2YRVfJfgOUMaImrXJ/DG1D7z1BhGnxs3UEmyKYQ+6fg7H5dzisJ09fYf

QB8h8ZE+S2S7MbVaONOYwN/tALE5LwiJcRxEs1nnl2xhf8xzTwbj6VwmR2CRtS9G

LnlBPbUCAwEAAQ==

-----END RSA PUBLIC KEY-----

n0fate:c400 n0fate$ xxd blob.dat

0000000: 8d33 84e4 1159 8ef3 0d52 db86 eaf8 1af0 .3...Y...R......

0000010: 0028 a37d 9e6f 79b0 4ba3 feb6 64df 9441 .(.}.oy.K...d..A

0000020: 9bc0 bf3a af54 babd c3a7 2087 3d0a a428 ...:.T.... .=..(

0000030: bc28 3a5c 3ee7 228e b089 b6b4 7434 133f .(:\>.".....t4.?

0000040: b8f1 c870 889f 8f68 1ca1 c8e0 5de4 ee4f ...p...h....]..O

0000050: f915 6040 1cb3 2c77 619a c210 1ab7 da09 ..`@..,wa.......

n0fate:c400 n0fate$

n0fate:c400 n0fate$ openssl enc -d -base64 -in pubkey.pem -out pubkey.decoded

n0fate:c400 n0fate$ xxd pubkey.decoded

0000000: 3068 0261 00ca d984 557c 97e0 3943 1a22 0h.a....U|..9C."

0000010: 6ad7 27f0 c6d4 3ef3 d418 469f 1b37 5049 j.'...>...F..7PI

0000020: b229 843e e9f8 3b1f 9773 8ac2 74f5 f61f .).>..;..s..t...

0000030: 401f 21f1 913e 4b64 bb31 b55a 38d3 98c0 @.!..>Kd.1.Z8...

0000040: dfed 00b1 392f 0889 711c 44b3 59e7 976c ....9/..q.D.Y..l

0000050: 617f cc73 4f06 e3e9 5c26 4760 91b5 2f46 a..sO...\&G`../F

0000060: 2e79 413d b502 0301 0001 .yA=......

우선 인증서 구조 포맷을 기준으로 modulus 부분을 끄집어 내었다.

00ca d984 557c 97e0 3943 1a22 6ad7 27f0 c6d4 3ef3 d418 469f 1b37 5049

b229 843e e9f8 3b1f 9773 8ac2 74f5 f61f 401f 21f1 913e 4b64 bb31 b55a 38d3 98c0

dfed 00b1 392f 0889 711c 44b3 59e7 976c 617f cc73 4f06 e3e9 5c26 4760 91b5 2f46

2e79 413d b502

이 부분은 코드게이트 2010에 chal7과 타겟만 다를 뿐 실제로는 키가 같기 때문에, 동일한 풀이가 가능하다.

Codegate 2010 PreQual write-up: http://www.box.net/shared/4ep3jtncoi

768비트에서 이전 코드게이트의 풀이에 이용된 코드를 컴파일 하여 손쉽게 개인키를 생성할 수 있었다.

create_private.c

e_os.h

Codegate Chal7의 코드가 올라온 페이지: http://blog.stalkr.net/2010/03/codegate-decrypting-https-ssl-rsa-768.html

( thx to StalkR :) )

n0fate:c400 n0fate$ gcc -lssl -o create_private create_private.c

n0fate:c400 n0fate$ ls

blob.dat create_private.c pubkey.pem

create_private e_os.h pubkey.decoded

n0fate:c400 n0fate$ ./create_private

n0fate:c400 n0fate$ ls

blob.dat create_private.c private.pem pubkey.pem

create_private e_os.h pubkey.decoded

n0fate:c400 n0fate$

n0fate:c400 n0fate$ cat private.pem

-----BEGIN RSA PRIVATE KEY-----

MIIBywIBAAJhAMrZhFV8l+A5Qxoiatcn8MbUPvPUGEafGzdQSbIphD7p+Dsfl3OK

wnT19h9AHyHxkT5LZLsxtVo405jA3+0AsTkvCIlxHESzWeeXbGF/zHNPBuPpXCZH

YJG1L0YueUE9tQIDAQABAmB0DeSHYEQoNbqtXhmQRTqdFtt5dtP4u5i/mcDAHL6b

nBK4CMgGg9HjRsFseawWKHTyjKYQwbl+Xh/66VclzgxrAxw+GIsXGHp5OzIsxABM

Vo52ybJYVC6iotbs1GL/9AECMQDuvm3SPOfpnA4iSf7MRBjDSvdOQYv6cUw3kYKE

FKsY8y/X4JMGKkmwMCJcyEX5mrUCMQDZgux7RA4oadJTXlH5G6zD6266BC4Qbm+H

XD0X5T22X//W5OmjYITOYPg9dU3X9wECMQCnEe/8Xc7U9fYWHL4H5+eEUuO5ibkR

K1Pw1w0ErQoGzbe/VFLOz6z9dNG3KBd/0rkCMQCXWi353DJJ1tDe6Bv8TlCah+Gl

mLEBCAedVgbA8OhPVl+tBd65q7jd7sXt5glDxQECMGPaTUJkasmL/oHWpol6MdKQ

dntcO36IGfmwHw6H2TJLFpeozkoCUIj7+MWl4ZXaag==

-----END RSA PRIVATE KEY-----

생성된 키를 통한 복호화

n0fate:c400 n0fate$ openssl rsautl -decrypt -in blob.dat -inkey private.pem -out result.dat

n0fate:c400 n0fate$ cat result.dat

how long until 1024 falls by the wayside?

n0fate:c400 n0fate$

사실 크립토400문제를 잔뜩 기대하고 있었는데,

이미 널리 알려진 문제이고 코드게이트에서 이미 나왔던 문제가 똑같이 나와서 많이 씁쓸했다.

내년에는 주최측에서도 이런 부분에 대해 더 검증이 필요할 것 이라 생각한다.

Defcon 18 Forensics 400

2010-05-29T20:37:00.001+09:00

defcon 18 의 포렌식 400번 문제는 USB 라이브 리눅스 이미지 분석 문제이다.

n0fate:Desktop n0fate$ file f400_9c1559dd4d155c99.tar.gz

f400_9c1559dd4d155c99.tar.gz: gzip compressed data, from Unix, last modified: Tue Jun 2 09:53:23 2009

n0fate:Desktop n0fate$ tar xvzf f400_9c1559dd4d155c99.tar.gz

x ./MicroVault.dd

n0fate:Desktop n0fate$ file MicroVault.dd

MicroVault.dd: x86 boot sector, code offset 0x58, OEM-ID "MSDOS5.0", sectors/cluster 32, root entries 512, Media descriptor 0xf8, sectors/FAT 248, heads 255, sectors 2030592 (volumes > 32 MB) , serial number 0x44786c73, unlabeled, FAT (16 bit)

n0fate:Desktop n0fate$

문제의 이미지는 단일 파티션이 아닌 전체 물리디스크를 이미지한 것으로 확인할 수 있었다. 우선 백업본을 하나 만들어서 qemu를 이용하여 장치를 구동시켰다.

n0fate:Desktop n0fate$ cp MicroVault.dd MicroVault_Copy.dd

n0fate:Desktop n0fate$ md5 MicroVault*

MD5 (MicroVault.dd) = 4a9d000a20ca281f8624ab6b6abbad91

MD5 (MicroVault_Copy.dd) = 4a9d000a20ca281f8624ab6b6abbad91

n0fate:Desktop n0fate$ qemu -L /opt/local/share/qemu/ -hda MicroVault_Copy.dd

루트 사용을 위해 부팅과정에서 싱글모드로 진입할 수 있도록 부팅인자에 1을 넣었다.

이미지 부팅과정에서 나타나는 정보가 러시아어로 써있는 것을 보아 그쪽에서 제작된 것 같았다.

라이브 유저의 홈 디렉터리는 noCigar란 파일 하나만 존재했으며, 이 파일의 내용은 이건 너가 찾아야할 파일이 아니라는 말 뿐이였다. 그래서 파일시스템 이미지 자체를 분석하는 쪽으로 방향을 바꾸었다.

n0fate:Desktop n0fate$ mkdir evif400

n0fate:Desktop n0fate$ autopsy -d ~/Desktop/evif400/

============================================================================

Autopsy Forensic Browser

http://www.sleuthkit.org/autopsy/

ver 2.21

============================================================================

Evidence Locker: /Users/n0fate/Desktop/evif400

Start Time: Sat May 29 19:30:55 2010

Remote Host: localhost

Local Port: 9999

Open an HTML browser on the remote host and paste this URL in it:

http://localhost:9999/autopsy

Keep this process running and use <ctrl-c> to exit

LiveOS 폴더로 가면 overlay-QUALS09-4478-6C73이라는 0.8기가의 파일을 볼 수 있으며, 이 파일은 실제론 LVM Snapshot 파일로 명시되어 있다.

보통은 LVM 스냅샷을 통해 볼륨의 현재 상태를 백업해 두고, 문제 발생 시 복구하는 용도로 많이 이용되지만, 이 문제의 경우 단일 스냅샷으로 시스템까지 운영되므로, 부팅 전 후 시점에 스냅샷을 생성/사용 하는 것으로 판단된다.

문제가 빈칸을 채우라 였으므로, "___"(blank)로 검색을 해보았다.

스트링 검색으로 정답을 바로 확인할 수 있었다.

문제에 답이 있는 문제(?)였지만, 실제론 LVM 스냅샷 파일은 특정 시점의 논리볼륨의 상태를 그대로 보관하기 때문에, USB를 이용한 Bootable Live OS에 많이 사용되는 것 같다. 이 문제 또한 USB내에 스냅샷 이미지를 저장한다는 점을 알리기 위한 문제정도의 의미가 있는 것 같다.

이대로 끝나면 섭섭하니 LVM에 대한 몇가지 문서를 링크걸어둔다.

Reference:
Document: Logical Volume Management - Wikipedia

Document: Disk Performance of Copy-onWrite Snapshot Logical Volumes

Blog: Logical Volume Manager - KOR

RAID system forensics

2010-05-29T13:04:00.009+09:00

이번 DefCon에서 Forensic 400에는 LVM Snapshot, Forensic 500에는 RAID시스템이 출제되었다.

(문제 풀이에 대해서는 proneer님이 올린 글에 잘 나와있으니 참조하기 바란다.)
LVM - Defcon 18 CTF Forensic 400 Writeup(Written by proneer)
RAID - Defcon 18 CTF Forensic 500 Writeup(Written by proneer)

리눅스의 dmraid와 같은 도구를 이용하여 많은 해커들이 풀었지만, 국내뿐만 아니라 해외에서도 인케이스와 같이 유명한 디지털 포렌식 도구들은 윈도우 환경을 기준으로 개발되고 있다. 그래서 실제로 분석관들이 사용할 만한 도구들이 어떤 것이 있는지 확인해보았다. RAID를 구성시켜주는 도구는 윈도우 환경에서 크게 4가지가 있다.

RAID Reconstructor, WinHex(Specialist License), Encase, SMART
각 도구들에 대한 세부적인 설명은 아래의 문서를 참조하기 바란다.

Document: RAID Rebuilding

proneer님의 글에 나와있듯이 WinHex와 Encase는 이미지를 연결하고 분석까지 한번에 해주는 도구이지만, Strip Size와 디스크 순서를 분석해주는 기능이 없다. 이는 보통 장치 컨트롤러를 통해 어느정도 정보를 획득할 수 있긴 하지만, Strip Size의 경우 RAID를 구성하는 사람 마음대로 설정이 가능하기 때문에, 조사하는 입장에서는 이 크기에 대한 분석이 필요하다. 그래서 defcon 18의 문제 이미지에 이러한 기능을 제공하는 RAID Reconstructor를 이용하여, 본 도구의 효용성에 대해 확인해보았다.

도구는 레이드에 대한 지식이 적은 사람도 쉽게 사용할 수 있도록 설계되어 있다. 하나의 다이얼로그 창에 총 4개의 스텝으로 구성된 화면이 보이게 된다.
각 스텝의 역할은 다음과 같다.

레이드의 타입을 선택하고 레이드 구성을 위한 기본적인 설정을 해준다.
분석을 통해 올바른 스트립 크기와 물리디스크의 순서를 결정한다.
결과를 Runtime사 도구로 해석할 수 있는 포맷이나, 단일 이미지 또는 물리디스크에 byte to byte로 데이터를 작성한다.
runtime의 도구를 이용하여 추가적인 분석을 수행한다.

첫 번째 스텝에서 물리드라이브 설정은 라이브 상태에서 이미지를 수집할 수 있도록 현재 물리디스크를 마운트하거나, 이미 이미징된 파일을 입력으로 받는다. 필자가 사용한 예제는 defcon 18 forensics 500에서 나온 RAID-0 Stripe System이미지를 기준으로 테스트하였다. 레이드 타입을 RAID-0으로 선택하고, 두 이미지를 설정한 후 'Open drives'를 통해 오픈하였다.

오픈하게 되면 총 RAID의 크기가 나타나고 스텝2의 'Analyze'버튼이 활성화 된다. 이 상태에서 Step2의 버튼을 누르면, RAID 구성에 필요한 변수 설정이 나타나게 된다.

이 순서는 총 3가지 변수를 알아내기 위해 사용되며, 드라이브 순서는 엔트로피를 통해 판단하는 것으로 확인된다. ( 엔트로피를 기준으로 판단한 이유에 대해서는 조사가 필요하다. )

예제의 이미지를 수행했을 땐 시작섹터의 오프셋과, 드라이브의 순서는 올바르게 되었지만, 블록 사이즈가 실제와 다르게 나타났다. (이 것 때문에, 이미지가 잘못된게 아니냐고 오해를 할 정도였다.)
첫 테스트부터 이러한 결과를 보여서 약간 아쉽다.

이 과정을 마치고 나면 이미지를 하나로 통합하거나, CD Size인 650mb에 맞게 분할 하거나 압축하여 저장할 수 있고, 또는 Attach한 물리디스크에 데이터를 그대로 덮어씌워 백업본을 생성할 수도 있다.

추가적으로 RAID-5의 구성을 위해 이 도구는 Entropy Test 이외에 XOR Test도 지원한다. 이는 Parity Bit를 체크하기 위한 것으로 데이터의 유효성을 검증하는 것으로 생각된다.(실제 이미지가 없어서 테스트는 못해봤다.)

본 도구는 전문 분석도구의 기능을 갖추진 못했지만, 다른 RAID분석 도구와 다르게 RAID 구성을 위한 여러 변수들을 자동으로 설정해주는 기능이 있기 때문에, Encase나 WinHex와 함께 사용한다면, 최고의 효율성을 보장받을 수 있을 것이라 생각한다. 단지 예제 이미지에 테스트했을 때 Strip Size에 대해 올바른 결과를 보여주지 못한 점이 아쉽다. (물론 이 부분은 추가적인 테스트가 필요한 부분이라 생각한다.)

추가적으로 몇몇 RAID 재구성 관련 사이트와 문서를 첨부한다.
Site: Forensic and Log Analysis GUI
Document: RAID Recovery: Recover your PORN by Sight and Sound (Defcon17) : 레이드에 대한 기본적인 내용과 데이터 복구에 대한 내용
Document: RAID Reconstruction and Hooking : 레이드 재구성과 관련된 문서.

NTUSER.DAT만을 통하여 사용자의 그룹정보를 알아내기

2009-11-13T21:24:00.002+09:00

Windows Registry를 완벽하게 분석하기 위해서는 필요한 파일은 아래와 같다.

Security
default
SAM
Software
System
NTUSER.DAT

문제는 수집 시 서버의 정보를 노출하기 꺼려하는 기업들은 조사관이 원하는 계정의 레지스트리 정보만(NTUSER.DAT)을 건네준다. 이 상황에서 사용자의 그룹정보를 확인하려면 어떻게해야할까?
연구실의 레지스트리 분석도구(RegAn)을 통해 NTUSER.DAT를 올려서 확인하였다.
위치: “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership”

아 래는 저 SID 중 잘 알려진 SID에 대한 정보이다.
SID란?

A security identifier (SID) is a unique value of variable length that is used to identify a security principal or security group in Windows operating systems. Well-known SIDs are a group of SIDs that identify generic users or generic groups. Their values remain constant across all operating systems.
This information is useful for troubleshooting issues involving security. It is also useful for potential display problems that may be seen in the ACL editor. A SID may be displayed in the ACL editor instead of the user or group name.

Well-known Security identifier
쉽게 볼려면 콘솔(Console)에서 “gpresult”명령으로도 확인할 수 있다.

매칭 결과

SID	Name	Description
S-5-21-Domain Name-513	None	An identifier authority.
S-1-1-0	Everyone	A group that includes all users, even anonymous users and guests. Membership is controlled by the operating system.
S-1-5-32-544	BUILTIN\Administrators	A built-in group. After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group.
S-1-5-32-545	BUILTIN\Users	A built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer.
S-1-5-4	NT AUTHORITY\INTERACTIVE	A group that includes all users that have logged on interactively. Membership is controlled by the operating system.
S-1-5-11	NT AUTHORITY\Authenticated Users	A group that includes all users whose identities were authenticated when they logged on. Membership is controlled by the operating system.
S-1-2-0	LOCAL	An identifier authority.

실제로 필자가 조사했던 건의 경우에도 고객사에서 NTUSER.DAT만 제공하였고 악성행위를 한 계정이 guest임에 Administrator그룹임을 판단할 필요성이 있었는데. 이런 방법을 통해 쉽게 확인할 수 있었다 :)

Promiscuous Mode?

2009-10-16T00:53:00.003+09:00

리눅스시스템을 이용하여 방화벽을 구성해본 사용자라면 이 promiscuous mode에 대해 잘 알고 있을 것이다.

위키에서는 다음과 같이 설명하고 있다.

In computing, promiscuous mode or promisc mode is a configuration of a network card that makes the card pass all traffic it receives to the central processing unit rather than just frames addressed to it — a feature normally used for packet sniffing.

즉 이 모드로 설정된 카드는 모든 트래픽을 중간에서 받아서 원래 주소로 보내줄 수 있다.

이 기법은 패킷 스니핑 기술에 많이 사용되며, arpspoofing에도 사용되기 때문에, 침해시스템에서 꼭 조사가 필요한 부분이다.

하지만 윈도우의 경우 "ipconfig /all"을 해도 이 내용이 나타나지 않는다.

이 문제 때문인지, 다른 이유 때문인지 마이크로소프트에서는 promqry라는 도구를 무료로 제공해 각 장치들이 모드설정 여부를 확인할 수 있게 해준다.

특히 이 도구는 다른 시스템의 네트워크 카드가 이 모드를 사용하는지도 탐지할 수 있기 때문에 포렌식 수사 시 유용하게 사용할 수 있을 것이다.

multithread program(linux based)

2009-04-13T02:02:00.000+09:00

#include
#include
#include
#include

void *output(void *data);

int main() {
pthread_t thread[2];
char Word[]={'o', 'x'};

printf("begin :)\n");

if(0 > pthread_create(&thread[0], NULL, output, (void*)&Word[0])) {
perror("thread create error :");
exit(EXIT_FAILURE);
}
if(0 > pthread_create(&thread[1], NULL, output, (void*)&Word[1])) {
perror("thread create error :");
exit(EXIT_FAILURE);
}
if( 0 != pthread_join(thread[0], NULL) ){
perror("pthread_join() error");
exit(EXIT_FAILURE);
}
if( 0 != pthread_join(thread[1], NULL) ){
perror("pthread_join() error");
exit(EXIT_FAILURE);
}
return 0;
}

void *output(void *data) {
int i=0;
for(i=0; i<100; i++){
sleep(0);
putc(*((char *)data), stdout);
}
}

multithread program(windows based)

2009-04-13T02:00:00.002+09:00

// ThreadTest.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include
#include

unsigned int WINAPI output(void *arg);

int _tmain(int argc, _TCHAR* argv[])
{
HANDLE hThread[2];
CHAR Word[2]={'o','x'};

puts("begin :)");

if( 0 == (hThread[0] = (HANDLE)_beginthreadex(NULL, 0, output, (void *)&Word[0], 0, NULL) ) ) {
puts("_beginthreadex() error");
exit(1);
}
if( 0 == (hThread[1] = (HANDLE)_beginthreadex(NULL, 0, output, (void *)&Word[1], 0, NULL) ) ) {
puts("_beginthreadex() error");
exit(1);
}
if(WAIT_FAILED == WaitForSingleObject(hThread[0], INFINITE)) {
puts("Thread wait error");
exit(1);
}
if(WAIT_FAILED == WaitForSingleObject(hThread[1], INFINITE)) {
puts("Thread wait error");
exit(1);
}
return 0;
}

unsigned int WINAPI output(void *arg) {
int i=0;
for(i=0; i<100; i++){
Sleep(100);
putc(*((char *)arg), stdout);
}
return 0;
}

티더 vs 지탄

2009-04-13T00:47:00.003+09:00

DC 얻기

2009-04-12T23:10:00.001+09:00

DC를 얻는 3가지 방법

http://kin.naver.com/detail/detail.php?d1id=1&dir_id=10104&eid=imE0Jz5y6cY6qpAhjbT8yRSQa5X1ogck&qb=cHRocmVhZF9jcmVhdGU=&enc=utf8&pid=fPczbloi5UNssb29RLdsss--498629&sid=SeHeismt4UkAAHhIqaQ

SIM Reader

2009-03-30T00:13:00.005+09:00

SIM Card의 데이터를 쉽게 뽑아낼 수 있도록 도와주는 도구.

제작방법까지 친절하게 나와 있는 점이 인상적이다.

이런 문서를 볼 때마다 전자공학분야를 공부해보고 싶다는 생각이 든다는..;

http://ladyada.net/make/simreader/index.html

Antivir Premium 1-year licence

2009-03-27T00:44:00.001+09:00

https://license.avira.com/de/promotion-a8ydzq3fgnsu051rwq81

sip crack

2009-03-17T02:33:00.003+09:00

준비물 : sipcrack, sipdump(sipcrack과 같이 설치됨), john, fragrouter, wireshark, arpspoof

sudo apt-get install sipcrack, john, fragrouter, wireshark, arpspoof

john --incremental=digits --stdout=6 > 6number.txt

arpspoof -i eth0 -t [phone ip] [gateway ip]

fragrouter -B1 // ip forwarding

이상태로 wireshark가동후 eth0 packet capture -> phone으로 아무번호나 통화후, 통화연결음 들리면 캡쳐종료

캡쳐한 내용을 LGCrack.pcap으로 저장

sipdump -p LGCrack.pcap key.dump

sipcrack -w 6number.txt key.dump

이 명령어를 치고나면 해당 인증서버(Client) ip주소와 password가 나오게 됩니다.

이젠 블랙잭에 070폰 정보를 입력합니다.

12325800 입력

Number : 는 사용하는 070번호 입력

ID : 070 번호준 앞자리 0을 뺀 번호를 입력 합니다.

Display name : 070번호 입력

Password : 알아낸 6자리 패스워드

adress : sip덤프에 나와 있는 Client ip어드레스를 입력

domain name : lgdacom.net

이렇게 셋팅하면 완료입니다. 근데 받는건 잘 안되네요-_- 더 만져봐야 알 것 같습니다. :)

PSP Error Code

2009-02-14T12:03:00.002+09:00

8002는 커널오류다
8001은 표준 libc(그리고 잘못 수는 POSIX errno.h 상수에 대응한다)오류다.
* CA000005 = keys.bin오류
해결법: keys.bin 파일은 psx 게임을 하기 위해 필요하다, psx게임에 대해 keys.bin 파일을 당신의 eboot.pbp과 같은 폴더에 넣어라
* 80220180 = 포맷오류
* 80100D00 = 그채널이 더해질수없다 (원문은 The Channel could not be added 뭐라해석해야할지 ㅠㅠ)
해결법:memorystick을 재포맷해라...
* 80410D09 = 접속을 잘못하였을경우 생기는오류
해결법: PSP은 WAP wifi 안정적이지 않는다, WEP과 재접속하는 것으로 바꾸어 보아라
* UKN9000001 = 업데이트오류(깨진데이터가있을경우)
* 80110305 = 읽어오기 오류.메모리스틱을 읽을수없을경우생김.
해결법: savedata 폴더의 백업하고 , 당신의 memorystick을 재포맷한다
* 80010013 = device / media 를 찾을수없을경우 나오는 오류
* 80410402 = 서버와의 통신은 실패했다(DNS 오류)
* 8001B002 = 알려지지않음 알고 있으면 나에게알려줘
* 80020001 or 800244C = 커널오류
* 80020001 = 일반적인 커널오류 (불이행)

* 800200D9 = 메모리 할당오류
* 80020130 = 파일 읽기 오류
* 80020148 =지원되지 않은 PRX 타입 또는 umd오류
해결법: (umd오류: 리커버리모드에서 no-umd 모드로 바꿉니다)
(prx오류: 현재는 오류가 먹히지 않습니다 과거 1.5 버전 일때 생기던오류)
* 8008271D = 내부오류(플래시메모리1이 오류가 날때)
해결법: 이것역시 과거에 생기던 오류입니다 ^^ 현재는 생기지 않죠
* 80110482 = 무선랜연결 실패?(젠장...원문 occurs when test of wlan infrastructure connection fails)
*FFFFFED3 = 알려지지않음 (디스크립 오류로 예상) 알고있으면 나에게 알려줘
* 80410001 or 80410D16 = 네트워크오류
* 80410D07 =잘못된 무선 라우터(무선랜에 사용 자세한건 네이버사전)에 접속하면 생기는 오류
해결법:psp 설정을 매뉴얼로 바꾸고, 모든 ip,dns,subnet 마스크와 디폴트의 라우터 정보를 초기화한다.
* ffffffff = PSP 업데이트실패
* 80410A0B = 내부오류 (WLAN 모듈 불이행)
* 80410410 = access point에 접속이 불가능할때 (서버연결 실패)
해결법: 걍 30초동안 무선랜 껏다가 다시킵니다 ㅋㅋ
* 80010087 = 게임을 시작할수 없습니다 (UMD 읽기 오류)
* 0x0 = 오류아님
* 0x80010013 = (장치또는 미디어를 찾을수없을경우)
* 0x80020001 = 그냥오류 -_-
* 0x80020002 = 잘못된 실행 (원문 not implemented)
* 0x80020032 = 잘못된 제외코드 (젠장 해석기 돌린것도아닌데 ㅠㅠ 어색하네 원문 illegal exception code)
* 0x80020033 = 예외 처리기를 사용하지 않음
* 0x80020034 = 예외 처리기가 이미 사용중
* 0x80020035 = 시스템 호출 테이블 사용하지 않음
* 0x80020036 = 시스템 호출 테이블을 이미 사용
* 0x80020037 = 잘못된 시스템 호출 테이블
* 0x80020038 = 잘못되버린 주된 시스템 호출 넘버 ( 병맛해석 아래 원문참조 )
* 0x80020039 = 주된 시스템 호출 넘버가 이미 사용중
* 0x80020064 = 인터럽트 처리기를/스레드에서 호출
* 0x80020065 = 잘못된 INTRCODE
* 0x80020066 = CPU가 이미 인터럽트 사용을 하지 않음
* 0x80020067 = 처리기가 이미 존재하다
* 0x80020068 = 처리기를 찾을 수 없습니다.
* 0x80020069 = 잘못된 인터럽트 수준
* 0x8002006a = 잘못된 주소
* 0x8002006b = 잘못된 인터럽트 처리기 Paramsize Option ( 병맛해석 아래 원문참조 )
* 0x8002006c = 잘못된 stackad dress
* 0x8002006d = 이미 stackad dress 가 사용중
* 0x80020096 = 여유 하드 Timer 찾을된 수 없음
* 0x80020097 = 잘못된 타이머 ID
* 0x80020098 = 잘못된 원본
* 0x80020099 = 잘못된 pre-scale
* 0x8002009a = 하드 타이머 사용중
* 0x8002009b = 하드 타이머 설정 되지 않음
* 0x8002009c = 하드 타이머가 사용 되지 않음
* 0x800200a0 = 이미 사용되는 단위 번호
* 0x800200a1 = 단위 번호를가사용 되지 않음
* 0x800200a2 = rom 디렉터리를 찾을 수 없습니다
* 0x800200c8 = id type 이미 사용중
* 0x800200c9 = id type이 없습니다.
* 0x800200ca = 알려지지않음
* 0x800200cb = 알 수 없는 UID
* 0x800200cc = 일치하지 않는 UID Type
* 0x800200cd = ID 찾을수 없습니다.
* 0x800200ce = 해석 불능 아래 원문참조
* 0x800200cf = UID 이미 보유중
* x800200d0 = UID 보유자가 아닙니다
* 0x800200d1 = 잘못된 사용 권한
* 0x800200d2 = 잘못된 인수
* 0x800200d3 = 잘못된 주소
* 0x800200d4 = 메모리 영역은 범위를 벗어났습니다.
* 0x800200d5 = 메모리 영역은 겹치기
* 0x800200d6 = 잘못된 파티션 ID
* 0x800200d7 = 파티션 사용
* 0x800200d8 = 잘못된 메모리 블록 할당 Type
* 0x800200d9 = 메모리 블록을 할당하지 못했습니다.
* 0x800200da = 다시 이 메모리 블록 크기를 inhibited
* 0x800200db = 다시 이 메모리 블록 크기를 못했습니다.
* 0x800200dc = 힙 블록 할당하지 못했습니다.
* 0x800200dd = 힙 할당하지 못했습니다.
* 0x800200de = 잘못된 청크 ID
* 0x800200df = findchunk 이름이 없습니다
* 0x800200e0 = 무료 청크 있을
* 0x8002012c = 모듈 연결 오류
* 0x8002012d = 잘못된 개체 format(notPX/PFX)
* 0x8002012e = 찾을된 수 없음 모듈
* 0x8002012f = 모듈 파일이 찾을된 수 없음
* 0x80020130 = 모듈 파일 읽기 오류
* 0x80020131 = 메모리 사용
* 0x80020132 = 파티션 불일치
* 0x80020133 = 이미 모듈이 시작됨
* 0x80020134 = 아직 모듈이 시작 되지 않음
* 0x80020135 = 이미 모듈이 중지되었습니다
* 0x80020136 = 모듈 중지할 수 없습니다
* 0x80020137 = 아직 모듈을 중지할수없습니다.
* 0x80020138 = 모듈 제거할 수 없습니다
* 0x80020139 = 단독 로드
* 0x8002013a = 라이브러리 아직 연결되지 않았습니다
* 0x8002013b = 라이브러리를 이미 존재
* 0x8002013c = 라이브러리를 찾을 수 없습니다.
* 0x8002013d = 잘못된 라이브러리 보유자
* 0x8002013e = 라이브러리 이미 사용중입니다
* 0x8002013f = 모듈이 이미 중지됨
* 0x80020140 = 잘못된 오프셋된 값
* 0x80020141 = 잘못된 위치를 코드
* 0x80020142 = 잘못된 액세스 코드
* 0x80020143 = 모듈 관리자 사용
* 0x80020144 = 잘못된 플래그를
* 0x80020145 = 모듈 목록을 가져올 수 없습니다
* 0x80020146 = 로드 모듈 장치 금지
* 0x80020147 = 로드 Exec 장치 금지
* 0x80020148 = 지원되지 않는 PRX Type
* 0x80020149 = 잘못된 권한을 호출
* 0x8002014a = 모듈 정보를 가져올 수 없습니다
* 0x8002014b = 잘못된 로드 Exec 버퍼
* 0x8002014c = 잘못된 로드 Exec 파일 이름
* 0x8002014d = 방법이 없는 종료 호출을 다시
* 0x80020190 = 메모리없음
* 0x80020191 = 잘못된 매개변수
* 0x80020192 = 잘못된 스레드 항목을 주소
* 0x80020193 = 잘못된 우선 순위 값
* 0x80020194 = 잘못된 스택 크기
* 0x80020195 = 잘못된 모드
* 0x80020196 = 잘못된 마스크
* 0x80020197 = 잘못된 스레드 ID
* 0x80020198 = 스레드가 찾을된 수 없음
* 0x80020199 = 세마포 를 찾을된 수 없음
* 0x8002019a = 이벤트 플러그를 찾을된 수 없음
* 0x8002019b = 메세지 상자를 찾을된 수 없음
* 0x8002019c = V 풀 찾을된 수 없음
* 0x8002019d = F 풀 찾을된 수 없음
* 0x8002019e = 해석불가 원문참조
* 0x8002019f = 알람을 찾을된 수 없음
* 0x800201a0 = 스레드 이벤트 처리기를 찾을된 수 없음
* 0x800201a1 = 찾을 수 없음 콜백
* 0x800201a2 = 스레드가 이미 유휴
* 0x800201a3 = 스레드가 이미 일시
* 0x800201a4 = 스레드가 유휴있지 않습니다
* 0x800201a5 = 스레드를 일시
* 0x800201a6 = 스레드가 정지되어있지않습니다
* 0x800201a7 = 해석불가 원문참조
* 0x800201a8 = WAIT 시간 제한
* 0x800201a9 = WAIT 취소
* 0x800201aa = 릴리스된 WAIT 상태
* N0x800201ab = 콜백에 의해 릴리스된 WAIT 상태
* 0x800201ac = 스레드가 종료됨
* 0x800201ad = 세마포를 카운터 0
* 0x800201ae = 세마포를 카운터 오버플로
* 0x800201af = 이벤트 플래그를 조건을 발생할 수 없습니다
* 0x800201b0= 이벤트플래그를 여러 스레드 사용중에는 대기를 받아들일 수 없습니다
* 0x800201b1 = 잘못된 이벤트 플래그를 대기 패턴
* 0x800201b2 = 메시지 박스에 아무 메세지 없음
* 0x800201b3 = 메시지 pipe 꽉찼습니다.
* 0x800201b4 = 메시지 pipe 비어
* 0x800201b5 = 삭제된 대기 개체
* 0x800201b6 = 잘못된 메모리 블록
* 0x800201b7 = 잘못된 메모리 크기
* 0x800201b8 = 잘못된 제거 패드 주소
* 0x800201b9 = 제거 패드 사용
* 0x800201ba = 제거 패드가 사용중이지 않음
* 0x800201bb = 잘못된 형식
* 0x800201bc = 잘못된 크기
* 0x800201bd = 잘못된 개수
* 0x800201be = 찾을 수 없음 v 타이머
* 0x800201bf = 잘못된 v 타이머 ID
* 0x800201c0 = 잘못된 KTLS ID
* 0x800201c1 = KTLS 꽉 찼습니다.
* 0x800201c2 = KTLS 중입니다
* 0x80020258 = 잘못된 이러한 우선 순위
* 0x80020259 = 장치 이름이 타당하다?! 원문참조
* 0x8002025a = 알 수 없는 장치 이름
* 0x8002025b = PM 정보가 이미 등록된
* 0x8002025c = PM 정보가 등록되어 있지 않습니다
* 0x8002025d = 주요 상태가 유효한 가치가 있다
* 0x8002025e = 요청이 잘못되었습니다.
* 0x8002025f = 요청을 알 수 없습니다.
* 0x80020260 = 단위 번호가 잘못되었습니다.
* 0x80020261 = 요청을 취소할 수 없습니다
* 0x80020262 = PM 정보가 잘못된
* 0x80020263 = 인수가 잘못되었습니다.
* 0x80020264 = 이미 전원 상태가 목표치입니다 ?! 원문참조
* 0x80020265 = 시스템 전원 상태를 변경하지 못했습니다
* 0x80020266 = 장치 전원 상태를 변경할 수 없습니다
* 0x80020267 = 장치 그런 powerstate 지원하지 않습니다
* 0x800202bc = DMAC 요청 실패
* 0x800202bd = DMA 작업이 적거나 또는 동등하다 ?! 원문참조
* 0x800202be = 작업이 이미 대기
* 0x800202bf = 가동이 벌써 끝내게 되거나, queueud하다
* 0x800202c0 = 작업이 이미 진행 해서 전송중입니다
* 0x800202c1 = 작업을 아직 할당하지 않은
* 0x800202c2 = syn-협력 시간 초과
* 0x800202c3 = dma 작업을 구조 isalready 해제된
* 0x800202c4 = dma 작업이 사용됩니다
* 0x800202c5 = dma 작업이 빈
* 0x800202c6 = DMA 작업이 중단되다
* 0x800202c7 = DMA 작업이 오류
* 0x800202c8 = 실제 DMA 채널 이미 예약되다
* 0x800202c9 = 실제 DMA 채널 dmac 관리자에 의해 관리됩니다
* 0x800202ca = 링크목록에서 주소가 있는 권한
* 0x800202cb = 링크 목록 버퍼 충분하지 않습니다
* 0x800202cc = 작업을 실제 DMA 채널 할당되지 않은.
* 0x800202cd = 작업은 하위 작업을 하지못했습니다.
* 0x800202ce = 양도 가능한 데이터 사이즈가 너무많다
* 0x800202cf = 인수가 잘못되었습니다.
* 0x80020320 = 너무 많은 파일을 열
* 0x80020321 = 이러한 장치가 없습니다.
* 0x80020322 = Cross-장치 연결
* 0x80020323 = 잘못된 파일 설명자
* 0x80020324 = 잘못된 인수가 있습니다.
* 0x80020325 = 지원되지 않는 작업
* 0x80020326 = 별칭 이미 사용
* 0x80020327 = 탑재할 수 없습니다
* 0x80020328 = 드라이버 삭제
* 0x80020329 = Asyn-협력 중입니다
* 0x8002032a = asyn-협력 없습니다
* 0x8002032b = 장치에 이미 등록되어있음
* 0x8002032c = 현재 작업 디렉터리 작업할수없음
* 0x8002032d = 파일 이름을 너무 길다
* 0x800203e8 = 그런 어떤 장치가 아니라도 또는 어떤 주소라도 DECI3
* 0x800203e9 = DECI3 I/Oerror
* 0x800203ea = DECI3 충분한 중심이 아니라
* 0x800203eb = STDIO가 열리지않았습니다.
* 0x8002044c = 매개 변수가 캐시 정렬이 아닙니다.
* 0x8002044d = 커널 오류 코드의 마지막. 이 이름을 사용 하지않습니다
* 8002014E = 이미 사용중인 msipl을 설치하는 동안 확인되지 않은 이 오류는 아마 확인되지않았다.?! 원문참조
DADADA = CFW 오류. OFW가 잘못되었음!

===============================================원문===========================================
Found it. Thought it was useful. SO posted it.
First 4 digits indicate the functional area that reported an error :
8002 is the kernel
8001 is the standard libc (and the error numbers correspond to the POSIX errno.h constants).

* CA000005 = keys.bin
FIX: a keys.bin file is required in order to play psx games, put the keys.bin file in the same folder as your eboot.pbp for the game
* 80220180 = Format failed
* 80100D00 = The Channel could not be added
FIX: Reformat the memorystick...
* 80410D09 = A connection error has occured.
FIX: The PSP doesn't support WAP wifi security, try switching to WEP and reconnecting
* UKN9000001 = The update cannot be started. The data is corrupted.
* 80110305 = Load failed.The Memory Stick* could not be accessed.
FIX: Backup savedata folder and reformat your memory stick
* 80010013 = device / media not found
* 80410402 = communication with the server failed, DNS error
* 8001B002 = unknown Please tell me if u do find it
* 80020001 or 800244C = kernel errors
* 80020001 = generic kernel error (default)
* 800200D9 = failed to allocate the memory block
* 80020130 = file read error
* 80020148 = PRX type unsupported or fault of umd
FIX (For fault of UMD): You can correct it by putting an no-UMD option in recovery menu or simply by putting one UMD
Explanation (For PRX): This error comes up when you try to use emulators, homebrew, etc. on a psp with version 1.52 and higher.
* 8008271D = An internal error has occurred (flash1 is corrupted)
Explanation: after restoring default settings, upon upgrading from DAX's 2.71SE to DAX's 3.02OE... your network settings will give that error.
* 80110482 = occurs when test of wlan infrastructure connection fails
* FFFFFED3 = unknown (might be decryption error) Please tell me if u do find it
* 80410001 or 80410D16 = network errors
* 80410D07 = This error comes up when errors occur connecting to a wireless router
FIX: Change psp settings to manual and enter in all of the ip,dns,subnet mask, and default router info
* ffffffff = PSP update failed
* 80410A0B = Internal Error (WLAN module failure) this was founded out by DARK_SYLAR
* 80410410 = Cannot connect to the given access point(Connection to the Server Failed.)
FIX: Unplug your modem and router (if you got one) for 30 seconds to a minute. Plug in your modem, wait 30 seconds to a minute, then plug in router.
* 80010087 = The game could not be started (Error in reading UMD)
* 0x0 = no error
* 0x80010013 = (device / media not found)
* 0x80020001 = error
* 0x80020002 = not implemented
* 0x80020032 = illegal exception code
* 0x80020033 = exception handler not use
* 0x80020034 = exception handler already used
* 0x80020035 = system call table not use
* 0x80020036 = system call table already used
* 0x80020037 = illegal system call table
* 0x80020038 = illegal Primary Syscall number
* 0x80020039 = Primary Syscall number already in use
* 0x80020064 = call from interrupt handler/thread
* 0x80020065 = illegal INTRCODE
* 0x80020066 = CPU already interrupt disable
* 0x80020067 = Handler already exist
* 0x80020068 = Handler not found
* 0x80020069 = illegal interrupt level
* 0x8002006a = illegal address
* 0x8002006b = illegal IntrHandler Option Paramsize
* 0x8002006c = illegal stackad dress
* 0x8002006d = already stackad dress set
* 0x80020096 = not found free Hard Timer
* 0x80020097 = illegal timer ID
* 0x80020098 = illegal source
* 0x80020099 = illegal pre-scale
* 0x8002009a = Hard Timer in use
* 0x8002009b = Hard Timer not setup
* 0x8002009c = Hard Timer not in use
* 0x800200a0 = unit number already used
* 0x800200a1 = unit number not used
* 0x800200a2 = rom directory not found
* 0x800200c8 = id type already exist
* 0x800200c9 = id type not exist
* 0x800200ca = {not available} Please tell me if u do find it
* 0x800200cb = unknown UID
* 0x800200cc = unmatched UID type
* 0x800200cd = id not exist
* 0x800200ce = not found UID fun action
* 0x800200cf = UID already holder
* x800200d0 = UID not holder
* 0x800200d1 = illegal permission
* 0x800200d2 = illegal argument
* 0x800200d3 = illegal address
* 0x800200d4 = the memory area is out of range
* 0x800200d5 = the memory area is overlap
* 0x800200d6 = illegal partition id
* 0x800200d7 = partition in use
* 0x800200d8 = illegal memory block allocation type
* 0x800200d9 = failed to allocate memory block
* 0x800200da = inhibited to re size this memory block
* 0x800200db = failed to re size this memory block
* 0x800200dc = failed to allocate heap block
* 0x800200dd = failed to allocate heap
* 0x800200de = illegal chunk id
* 0x800200df = cannot findchunk name
* 0x800200e0 = there is no free chunk
* 0x8002012c = module link error
* 0x8002012d = illegal object format(notPX/PFX)
* 0x8002012e = not found Module
* 0x8002012f = not found Module file
* 0x80020130 = Module file read error
* 0x80020131 = memory in use
* 0x80020132 = partition mismatch
* 0x80020133 = module already started
* 0x80020134 = module not started yet
* 0x80020135 = module already stopped
* 0x80020136 = module cannot stop
* 0x80020137 = module not stopped yet
* 0x80020138 = module cannot remove
* 0x80020139 = exclusive load
* 0x8002013a = Library is not linked yet
* 0x8002013b = Library already exists
* 0x8002013c = Library not found
* 0x8002013d = illegal Library header
* 0x8002013e = Library is used now
* 0x8002013f = module already stopping
* 0x80020140 = illegal offset value
* 0x80020141 = illegal position code
* 0x80020142 = illegal access code
* 0x80020143 = module manager busy
* 0x80020144 = illegal flag
* 0x80020145 = cannot get module list
* 0x80020146 = prohibit Load Module device
* 0x80020147 = prohibit Load Exec device
* 0x80020148 = unsupported PRX type
* 0x80020149 = illegal permission call
* 0x8002014a = cannot get module information
* 0x8002014b = illegal Load Exec buffer
* 0x8002014c = illegal Load Exec file name
* 0x8002014d = There is no exit call back
* 0x80020190 = no memory
* 0x80020191 = illegal at parameter
* 0x80020192 = illegal thread entry address
* 0x80020193 = illegal priority value
* 0x80020194 = illegal stack size
* 0x80020195 = illegal mode
* 0x80020196 = illegal mask
* 0x80020197 = illegal thread ID
* 0x80020198 = not found thread
* 0x80020199 = not found semaphore
* 0x8002019a = not found event flag
* 0x8002019b = not found message box
* 0x8002019c = not found V pool
* 0x8002019d = not found F pool
* 0x8002019e = not found message pipe
* 0x8002019f = not found alarm
* 0x800201a0 = not found thread event handler
* 0x800201a1 = not found callback
* 0x800201a2 = thread already DORMANT
* 0x800201a3 = thread already SUSPENDED
* 0x800201a4 = thread is not DORMANT
* 0x800201a5 = thread is not SUSPENDED
* 0x800201a6 = thread i snot WAIT
* 0x800201a7 = now dispatch disabled
* 0x800201a8 = WAIT timeout
* 0x800201a9 = WAIT canceled
* 0x800201aa = WAIT status released
* N0x800201ab = WAIT status released with call back
* 0x800201ac = thread is terminated
* 0x800201ad = semaphore counter zero
* 0x800201ae = semaphore counter overflow
* 0x800201af = event flag condition no to occur
* 0x800201b0 = this event flag cannot accept waits with multiple threads
* 0x800201b1 = illegal event flag wait pattern
* 0x800201b2 = message box have no message
* 0x800201b3 = message pipe is full
* 0x800201b4 = message pipe is empty
* 0x800201b5 = wait object deleted
* 0x800201b6 = illegal memory block
* 0x800201b7 = illegal memory size
* 0x800201b8 = illegal scratch pad address
* 0x800201b9 = scratch pad in use
* 0x800201ba = scratchpad not in use
* 0x800201bb = illegal type
* 0x800201bc = illegal size
* 0x800201bd = illegal count
* 0x800201be = not found v timer
* 0x800201bf = illegal v timer ID
* 0x800201c0 = illegal KTLS ID
* 0x800201c1 = KTLS is full
* 0x800201c2 = KTLS is busy
* 0x80020258 = invalid such priority
* 0x80020259 = device name is in valid
* 0x8002025a = device name is unknown
* 0x8002025b = PM information is registered already
* 0x8002025c = PM information is not registered
* 0x8002025d = major state is in valid value
* 0x8002025e = request is invalid
* 0x8002025f = request is unknown
* 0x80020260 = unit number is invalid
* 0x80020261 = cannot cancel request
* 0x80020262 = pm information is invalid
* 0x80020263 = argument is invalid
* 0x80020264 = already targeted power state
* 0x80020265 = failed to change system power state
* 0x80020266 = cannot change device power state
* 0x80020267 = device does not support such powerstate
* 0x800202bc = request to the DMAC failed
* 0x800202bd = DMA operation is less or equal one
* 0x800202be = the operation is already queued
* 0x800202bf = the operation is already finished or not queueud
* 0x800202c0 = the operation is already in transfer progress
* 0x800202c1 = the operation is not assigned yet
* 0x800202c2 = the syn-cooperation timed out
* 0x800202c3 = dma operation structure isalready freed
* 0x800202c4 = dma operation is used
* 0x800202c5 = dma operation is empty
* 0x800202c6 = DMA operation is aborted
* 0x800202c7 = DMA operation is error
* 0x800202c8 = physical DMA channel is already reserved
* 0x800202c9 = physical DMA channel is not managed by dmac manager
* 0x800202ca = there is a privilege address in link list
* 0x800202cb = link list buffer is not enough
* 0x800202cc = the operation is not assigned to physical DMA channel
* 0x800202cd = the operation is child operation
* 0x800202ce = it is too much than transferable datasize
* 0x800202cf = argument is invalid
* 0x80020320 = Too many open files
* 0x80020321 = No such device
* 0x80020322 = Cross-device link
* 0x80020323 = Bad file deor
* 0x80020324 = Invalid argument
* 0x80020325 = unsupported operation
* 0x80020326 = Alias is already used
* 0x80020327 = Cannot mount
* 0x80020328 = Driver deleted
* 0x80020329 = Asyn-cooperation is busy
* 0x8002032a = No asyn-cooperation
* 0x8002032b = Device is already registered
* 0x8002032c = No current working directory
* 0x8002032d = File name toolong
* 0x800203e8 = DECI3 No such device or address
* 0x800203e9 = DECI3 I/Oerror
* 0x800203ea = DECI3 Not enough core
* 0x800203eb = STDIO not opened
* 0x8002044c = Parameter is not cache aligned
* 0x8002044d = End of kernel error code. Never use this name
* 8002014E = While installing msipl to reserved area this error maybe obtained Unconfirmed
DADADA = CFW Error Only. Put in place to prevent users from accidentally going to OFW from CFW

WinDBG Setting

2009-02-10T17:19:00.002+09:00

Symbol : http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx

Symbol Path : SRV*C:\WebSymbol*http://msdl.microsoft.com/download/symbols;c:\symbol

Client
boot.ini -> add "/debug /debugport=COM1 /baudrate=115200

WinDBG - Kernel Debug -> port = \\.\pipe\com_1

What's New In Python3.0

2009-02-09T10:41:00.000+09:00

- print 의 진정한 함수화
- print "abcd" 이렇게 이제 못 쓴다. print("abcd") 이렇게 제대로 써야한다.
- print "abcd", 이렇게 줄바꾸지 않게 하던건, print("abcd", end=" ") 이렇게 쓴다.
- list 대신 view 와 iterator 를 쓴다고 합니다. 기존에 list 로 반환하던 함수들이 없어지거나 함
- 비교 연산자가 비교가 무의미한 경우에 TypeError 를 발생시킨다. None < None 같은 경우
- "1/2" 는 0.5(float) 을 돌려줌. "1//2" 는 0(int)를 돌려줌
- sys.maxint 는 int 의 제한이 없어져서 사라짐
- 모든 문자열은 유니코드이다.(단 인코딩된 유니코드는 바이너리이다)
- 유니코드를 위해 u"..." 와 같은 형식이 필요없다
- 기본 소스 인코딩은 utf-8 이다
- as 와 with 는 예약된 단어이다(실제로 2.6부터였다)
- True, False, None 은 예약된 단어이다(2.6에서부터 None 은 강제였다)
- 비교연산자 <> 는 제거되었다(!= 를 써라)
- 오래된 라이브러리들이 제거되었다. gopherlib, md5 는 제거되었다(md5는 hashlib 로 대체)
- raw_input() 이 input() 으로 대체되었다
- 파이썬 2.5보다 10% 느려졌다. 일단 3.0 발표 후 개선할 것이다.

link1 : http://docs.python.org/dev/3.0/whatsnew/3.0.html
link2 : http://wimy.com/tt/219

Service Code

2009-02-03T17:44:00.001+09:00

큐리텔SK 762665
세원텔레콤 123580
캔유2 000000
큐리텔KTF 580918/732227/599942/287483
스카이구형 006725
스카이신형 000000
모토로라 112249
에버 000000/292310
VK시리즈 000000
LGSPC 852456
LG(SKT) 852456
LG(LGT) 147359/159753/000000
LG 147359/159753/000000/002063/456852
LGMSI코드 002063
삼성 000000
삼성V720 398021

팬큐 762665/000200/580918

(출처: 네이버지식인)

'S' Univ vulnerable

2009-01-31T14:37:00.006+09:00

S대학교의 수강신청사이트는 쿠키 값을 조작하여 간단하게 접근가능.

원래 1~4학년마다 날짜가 다르지만..그런거 다 무시하고 접근가능하게 한다..

학교 패스워드 또한 쿠키의존식..쿠키값만 빼낼 수 있다면..(학교 게시판은 충분히 가능해보인다.;)

다른사람의 패스워드까지 알 수 있는 치명적인 상황.

Disidia Final Fantasy Movie

2008-12-28T20:53:00.003+09:00

VS 2008 몇가지 문제

2008-09-23T01:04:00.002+09:00

Library 추가

1. #pragma comment(lib, "dsp.lib")

2. Linker -> Input -> Additional Dependecies

cannot open file 'LIBCD.lib'

Ans) Project -> Project Property -> Linker -> Input -> Ignore Specific Library에 추가

WinDBG Instruction set

2008-09-22T17:34:00.002+09:00

프로세스 리스팅
!process 0 0

프로세스 어태치 시키기
.process /i [pid]

할당된 가상메모리 덤프

올리디버거의 Memory Map윈도의 기능

!vadump [-v]

해당메모리 주소가 어떤 속성인지 알려줌

!vprot [주소]

현재 프로세스내에 동작중인 스레드의 스택을 보여줌

!uniqstack [-b]

-b옵션을 주면 스택에 담긴 아규먼트까지 보여준다

현재 스레드에 할당된 권한(Privilege)를 보여줌

!token

각 스레드가 동작한 시간

!runaway

레지스트리 정보 확인

!dreg

예) 0:000> !dreg System\CurrentControlSet\Services\Tcpip!*

해당 주소를 UNICODE_STRING구조체 형식으로 살펴봄

!ustr [주소]

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING;

해당 주소를 ANSI_STRING혹은 OEM_STRING구조체로 살펴봄

!str [주소]

typedef struct _STRING {
USHORT Length;
USHORT MaximumLength;
PCHAR Buffer;
} STRING;
typedef STRING ANSI_STRING;
typedef STRING OEM_STRING;

스레드 로컬 스토리지 슬롯을 살펴봄

!tls

모든 슬롯 출력

예) !tls -1

Specifies the thread environment block (TEB). If this is 0 or omitted, the current thread is used

예) !tls 0

현재 스레드의 TEB정보를 출력

!teb

현재 프로세스의 PEB정보를 출력

!peb

잘 알려진 몇몇 STL템플릿정보를 출력

!stl

로딩된 dll모듈의 베이스주소와 길이 모듈명을 출력한다

해당모듈의 자세한 정보를 출력

!lmi [모듈]

예) !lmi 00400000

반복적인 디버거명령을 실행시키면서, 링크드리스트 정보를 출력함

!list

예) !list "-t ntdll!_LIST_ENTRY.Flink -e -x \"dd @$extret l4; dt ntdll!_RTL_CRITICAL_SECTION_DEBUG @$extret-0x8\" ntdll!RtlCriticalSectionList"

현재 Shared User-mode Page를 출력함

현재 타임존과 시스템루트, TickCount와 시간을 출력함

!kuser

로드된 모듈들의 리로케이션되기전의 주소를 출력한다

!imgreloc [주소]

최근 에러코드를 리턴한다

!gle

에러코드를 가지고 무슨 에러인지 설명을 보여준다

!error [에러코드번호]

글로벌 플래그를 설정 혹은 보여준다

!gflag

로드된 모듈들에 대한 커스터마이징(?)된 출력을 해준다.

!for_each_module ["명령어"]

예) !for_each_module .echo @#ModuleIndex : @#Base @#End @#ModuleName @#ImageName @#LoadedImageName

로드된 모듈에서 MZ로 시작되는것을 찾는다
예) !for_each_module s-a @#Base @#End "MZ"

가상메모리에서 이미지헤더를 검색한다 (MZ검색)

.imgscan

표현식을 헥사, 8진수, 2진수, 시간형, Float형, Double 형으로 변환한 형태로 보여준다

.formats [표현식]

디버그 레지스터 확인

0:000> rm 0x20;r
dr0=00000000 dr1=00000000 dr2=00000000
dr3=00000000 dr6=00000000 dr7=00000000
ntdll!KiFastSystemCallRet:
7c93eb94 6a01    push    1

범용레지스터 확인

0:000> rm 0x01;r
eax=00000000 ebx=00000000 ecx=00000006 edx=7c9ac080 esi=7c93e88e edi=00000000
eip=7c93eb94 esp=0007fde8 ebp=0007fee4 iopl=0 nv up ei pl zr na pe nc
ntdll!KiFastSystemCallRet:
7c93eb94 6a01    push    1

레지스터 값 변경

r eip=7c931230
r eax = @ebx
r zf=0

특정 주소에 어셈블 코드 삽입

a <위치>
예) a eip
00401000    sub esp, 10

특정 주소에 원하는 값 삽입

e[옵션] <주소>
예) eb <주소>
00401000 90
00401001 90
00401002 90

현재 보여주는 숫자의 진수바꾸기
n
예) n 8
예) n 16 # 16진수
예) n 10 #10진수로 보여줌

메모리가 참조하고 있는 데이터를 살펴보기

예) dpa esp 현재 스택을 아스키형태로 보여줌
예) dpu esp 현재 스택을 유니코드형태로 보여줌

메모리의 내용을 심벌과 매핑시켜서 보여줌

예) dds esp    현재 콜 스택을 보여줌

출처 : http://www.sinwoong.co.kr/entry/Windbg-명령어-정리

JMP COde HOOK

2008-09-10T09:00:00.002+09:00

mov byte ptr [edi],0E9h   ; E9는 jmp 인스트럭션 opcode 이다.
mov eax,offset new_sleep    ; eax에 new_sleep 함수의 주소를 할당한다.
sub eax,edi                ; 할당된 주소에서 후킹하고자 하는 위치[edi]의 주소를 뺀다. 상대주소 계산을 위해서다.
sub eax,5                    ; 추가로 5bytes를 빼줌으로써 jmp 인스트럭션 길이(5bytes)를 감안해준다.
inc edi                        ; 삽입 된 E9 opcode 다음에 계산된 상대거리(offset)를 삽입하기 위해 1bytes 올려준다.
stosd                          ; 주소를 edi에 복사한다.

출처 : http://micingamja.egloos.com/4079152

080809

2008-09-09T15:23:00.004+09:00

Theme : NeoGeniX Compact - malgun 8 font(fixed font by nofate)

Miranda IM - Dark Side(BT) 1.1

Foobar - Same that :)

Rocket Dock - Same that too :p

Google Chrome Beta

2008-09-03T12:42:00.003+09:00

Engine : Webkit + v8 Javascript

첫소감은 상당히 가볍다는 것입니다. 파폭보다 초기구동시간도 짧고 페이지 이동속도도 빠르군요..

폴더를 뒤져보니 테마폴더가 따로있는거를 보니, 수정도 가능할 것 같습니다... :)

크롬으로 인해 오픈소스진영의 웹브라우져 점유율 증가에 도움이 되었으면 좋겠네요..:)

fireworks display

2008-08-28T10:58:00.004+09:00

2008.08.26

회룡역 공사 후 불꽃놀이하는 영상.

중간에 하는 말은 시에서 하는 건데 뭐이리 오래동안 빵빵터트리나 해서 나온 말입니다.

(알아보니 공사 한다는게 신문에 올라왔다더군요..시장이 잘보일려고 한거 같네요..뭐 저에겐 별로 좋게 보이진 않았지만 말이죠..)

video recoder : KTF Ever W-300(cellular phone)

OS Timeline

2008-08-28T09:47:00.003+09:00

BSD & UNIX

Linux

link : http://x86osx.com/bbs/view.php?id=freeboard&page=1&sn1=&divpage=2&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=10607

개조 xp들 언제가 소송걸릴 줄 알았다.

2008-08-23T01:40:00.005+09:00

컴공생도이다보니 전 기존의 정품을 개조해서 돌아다니는 것에 대한 약간의 거부감을 가지고 있습니다. (사실 저작권에 대해 교수님에게 수업을 들은 적이 있습니다.;)

사실 June/BlackEdition XP와 같은 것이 돌아다닐 때도, 참 인상이 찌뿌려 지더군요.;

3일 전엔가 JMXP 제작자 분(http://blog.naver.com/solidthink/150034026823)이 MS에 고소를 당했다는 내용을 보았습니다.

내용이 와전되면서 6억을 부담할 꺼라는 얘기가 돌았는데 찾아보니 6억은 총 피해 추산액으로 내놓은 것이고 몇천만원이 부담될 것이라고 하는군요..

MS입장에서는 한사람 잡아서 본보기를 보여주는 식으로 진행되는 거 같습니다.

사실 국내에 June XP 초기버전이 돌아다닐 시에만 해도 저작권이라는 개념이 상대적으로 약한 상황이였으니..참=_=; (아직도 많이 약하긴 하죠.)

BlackEdition의 경우엔 같은 학교 컴공생들 몇명은 MS에서 나온줄 알았다고 할 정도였으니=_=;

되도록이면 P2P는 사용하지 마시고(언제 자신이 업로더가 될지 모릅니다.), 어떤 것이던지..인터넷에 컨텐츠(블로깅도 마찬가지죠)을 게시하는 분들은 게시전에 저작권에 대해 꼭 한번씩 생각해보았으면 하네요.

Defcon 16 iso image file

2008-08-22T19:33:00.004+09:00

defcon16.iso (include ppt & related tools)

link : http://edge.i-hacked.com/defcon16-cd-iso-posted

080817

2008-08-17T20:52:00.003+09:00

VS : AShen II (Calibri)
IconPackager : Alpha1 (Black)
Miranda Skin : TRiNiUM (BankGothic Font)
Rainlendar : Gloosy_Shadow4
Foobar : FooSmooth + Jellybox_pp
Dock : RocketDock(include Stack Docklet)
WallPaper : DarkKnight_Joker(1680x1050)

DOTA Instruction

2008-08-15T20:41:00.002+09:00

명령어란?

도타 올스타 플레이시 사용할 수 있는 명령어들입니다.

명령어는 게임 시작시 모드를 정하는 명령어와 게임 도중에 쓸 수 있는 명령어로 나뉘어집니다.

게임 모드를 정하는 명령어는 파란색(Blue) 플레이어만이 사용할 수 있고

(파란색 플레이어가 없다면 그 바로 아래 유저가 사용가능)

게임 시작 후 1분이 지나면 사용할 수 없습니다.

-sp : Shuffle Player. 접속해있는 플레이어들의 진영을 임의로 바꿉니다.
-ap : All Pick모드. 센티널,스콜지 양 진영영웅을 자유롭게 선택 할 수 있는 모드.
-ar : All Random모드. 게임 내 모든 플레이어가 임의의 영웅을 갖게 됨.
-lm : League모드. 양 진영이 번갈아가면서 영웅을 골라야 하는 모드.
-mm : Mirror Match모드. 양쪽 진영이 같은 영웅들을 갖게 합니다.
-dm : Death Match모드. 죽을때마다 다른 영웅을 골라야 하는 모드. 이미 한번 골랐던 영웅은 터번에서 사라집니다.
　　　　　　　　　　　　 또한, 죽을때마다 경험치를 잃게됩니다.
-aa : All Agility모드. 민첩영웅만을 선택할 수 있게 됩니다.
-ai : All Intelligence모드. 지능영웅만을 선택할 수 있게 됩니다.
-as : All Strength모드. 힘영웅만을 선택할 수 있게 됩니다.
-id : item drop 모드. 영웅이 죽을때 가지고있는 아이템중 하나를 임의로 떨어트리는 모드.
-np : 룬이 생성되지 않는 모드.
-sc : Super Creep모드. 게임 도중 수차례에 걸쳐 양쪽 진영에 슈퍼크립이 등장합니다. (고대히드라, 멀록전사, 시즈골렘 등)
-mr : Mode Random. 게임 모드중 임의의 모드명령어 하나를 실행한 효과를 보여줍니다.
-tr : Team Random 모드. 팀원이 모두 임의의 영웅을 갖게됩니다. (파란색, 분혹생 플레이어만 사용 가능)
-du : Duplicate 모드. Random 으로 이미 선택된 영웅을 가질 수 있습니다.

-sh : Same Hero 모드.
-em : Easy 모드. 타워의 체력이 약화되고, 크립이 주는 경험치와 돈, 지급받는 돈의 양이 증가합니다.

-vr : VoteRandom. Ar과 비슷하지만, 어떤 영웅들이 나오게 될지 투표를 할 수 있습니다.

-wtf : What The Fuck 모든 스킬과 아이템의 마나와 쿨타임이 0이 드는 모드입니다.

만약 동시에 여러개의 모드를 즐기고 싶다면, 한번에 여러번의 명령어를 같이 치면 됩니다

예로 SP, AP, LM 의 모드를 동시에 하고싶다면

-spaplm 이라고 치면 됩니다(순서상관없음)

게임 내 명령어는 모든 플레이어가 사용가능하고, -random, -repick 을 제외하고는 게임중 언제든 사용가능합니다.

-random : 자신이 고를 수 있는 캐릭터중 임의로 한 영웅을 고릅니다. 영웅 선택비용 250골드를 소모하지 않습니다.

-repick : 현재의 영웅을 포기하고 다시한번 터번에서 영웅을 고를 수 있습니다.
　　　　　　 (단, -AR -TR 모드에서는 임의의 새로운 영웅이 선택됩니다.)
-cs : Creep Score의 약자. 자신이 죽인 크립(적,중립) / 아군크립 의 수를 보여줍니다.

-cson / -csoff : CS내역이 화면 우측상단 스코어보드 아래 새로 추가/제거 됩니다..
-ms : Move Speed. 현재 영웅의 이동속도를 보여줍니다.
-ma : MAtch up. 적군 플레이어들의 선택된 영웅이름을 보여줍니다.

-hidemsg / -unhidemsg : 영웅이 죽을때 나오는 메세지를 끄거나/다시키는 명령어 입니다.
　　　　　　　　　　　　　 (기본적으로 메세지는 나오게 되어있습니다.)

-unstuck : 영웅이 빠져나올 수 없는 지형(나무사이 혹은 언덕같은 곳)으로 들어갔을 경우에 사용하는 명령어.

약 20-30초 후쯤 무적상태와 조작이 불가능해지고 우물로 돌아가게 됩니다.

참고 글 : Somgate의 서비님의 글 '도타 올스타 백과사전'

vulnerability (S University)

2008-08-14T14:27:00.005+09:00

please wait :)

CPU History

2008-07-25T13:15:00.005+09:00

lol

source link : http://iamkg.tistory.com/62

WoW MultiCore Setting

2008-07-25T12:11:00.001+09:00

If you have more than 2 cores (physical processors, physical cores, or logical HT "cores"), you can change a setting in config.wtf to specify which cores WoW will schedule certain threads on.

Find the line in config.wtf that says:

SET processAffinityMask = "3"

and change it to:

SET processAffinityMask = "15"

A setting of 3 is the binary mask for cores 1 and 2; a setting of 15 is the binary mask for cores 1, 2, 3, and 4.

╔══════╦════════╤════════╤════════╤════════╗

║ Mask ║ Core 1 │ Core 2 │ Core 3 │ Core 4 ║

╠══════╬════════╪════════╪════════╪════════╣

║ 1 ║ ██ │ ░░ │ ░░ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 2 ║ ░░ │ ██ │ ░░ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 3 ║ ██ │ ██ │ ░░ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 4 ║ ░░ │ ░░ │ ██ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 5 ║ ██ │ ░░ │ ██ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 6 ║ ░░ │ ██ │ ██ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 7 ║ ██ │ ██ │ ██ │ ░░ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 8 ║ ░░ │ ░░ │ ░░ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 9 ║ ██ │ ░░ │ ░░ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 10 ║ ░░ │ ██ │ ░░ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 11 ║ ██ │ ██ │ ░░ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 12 ║ ░░ │ ░░ │ ██ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 13 ║ ██ │ ░░ │ ██ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 14 ║ ░░ │ ██ │ ██ │ ██ ║

╟──────╫────────┼────────┼────────┼────────╢

║ 15 ║ ██ │ ██ │ ██ │ ██ ║

╚══════╩════════╧════════╧════════╧════════╝

after installed SP3, Windows cant operate automatic windows update..

2008-07-22T23:03:00.006+09:00

psp blogging test

2008-07-20T16:51:00.001+09:00

psp test

명령어 주소지정과 실행

2008-07-20T16:38:00.001+09:00

운영체제는 아래와 같은 기능을 가진다.

파일관리, 입출력, 프로그램 적재, 메모리 관리, 인터럽트

컴퓨터는 전원을 키면 프로세서는 재설정 상태로 들어가고, 모든 메모리 위치를 0으로 설정한 후, 메모리의 패리티 검사를 실시, CS레지스터를 세그먼트 주소 FFFF[0]H로 설정하고 IP레지스터를 0으로 설정한다. 이주소는 롬에 위치한 BIOS의 시작주소로 FFFF0H이다.

BIOS는 컴퓨터에 부착된 장치들을 인식하고 초기화를 위한 포트를 점검하고 장치로부터 read/write하는데 사용되는 서비스를 제공한다. 그 후 데이터는 두가지 데이터 영역을 설정한다.

인터럽트 벡터 테이블 - 하위 메모리의 위치0에서 시작, 세그먼트:오프셋 형태로 4바이트의 주소를 256개를 포함
BIOS데이터 영역 - 40[0]에서 시작하며 주로 부착된 장치의 상태와 관련

그 다음 BIOS는 디스크를 확인하고, 부트스트랩 로더에 접근한다. 이 로더는 디스크의 시스템 파일을 메모리에 올리고, 시스템 파일에게 제어를 넘긴다. 이 시스템 파일은 내부 시스템 테이블과 시스템의 인터럽트 벡터 테이블을 초기화 한다.

운영체제는 BIOS와의 연결을 지원하여야 하며, 프로그램은 운영체제와 바이오스를 거쳐 장치에 액세스하거나, 운영체제를 생략, 또는 둘다 생략하여 장치에 접근할 수도 있다.

주소지정방식

레지스터 주소지정	mov edx, ebx
직접 값 주소지정	ex) mov byte, 50
직접 메모리 주소지정	ex) mov bx, word_val
직접-오프셋 주소지정	ex) mov cl, byte_tbl[2] ; byte_tbl+2
간접 메모리 주소지정	ex) lea bx, data_val mov [bx], cl
베이스 인덱스 주소지정	ex) mov ax, [bx+si] add [bx+di], cl
변위를 갖는 베이스 인덱스	ex) mov, [ecx*2+esp+4]

Call & RETn instruction

2008-07-20T16:03:00.000+09:00

Call명령어는 제어를 피호출 프로시저로 전달
RETn명령어는 원래의 호출 프로시저로 되돌아 오도록 한다.

RETn은 피 호출 프로시저의 끝에 오는 것이 일반적이며,

근거리 원거리 여부는 컴파일러가 결정한다.

(물론 RETN(RETurn Near)와 RETF(RETurn Far)로 사용자가 정의할 수도 있다.)

근거리 호출의 경우

PUSH연산으로 SP를 word사이즈만큼 감소시키고, IP를 스택에 push
피호출 프로시저의 offset을 ip로 이동(processor queue clear)
프로시저의 RET을 만나게 되면, POP연산으로 이전의 IP 값을 꺼내어 instruction pointer를 변경한다.
stack pointer를 다시 word사이즈만큼 증가시킨다.

원거리 호출의 경우

원거리는 다른 코드 세그먼트의 FAR레이블을 가진 프로시저를 호출하므로, ip만을 저장하는 것이 아니라, cs(code segment)까지 스택에 저장
ret시 해당 내용을 복구하는 방식을 사용한다.

example code)

1 title a07callp
2 .model small
3 .stack 64
4 .data
5 ;---------------------------------------------
6 .code
7 main proc far
8 call b10 ; call b10
9 ; ........
10 mov ax, 4c00h
11 int 21h
12 main endp
13 ;---------------------------------------------------
14 b10 proc near
15 ret
16 b10 endp
17 ;----------------------------------------------------
18 end main

이 코드를 어셈블(/L option)하면 LST파일을 통해 기계어를 볼 수 있다.

1 title a07callp
2 .model small
3 .stack 64
4 .data
5 ;--------------------------------------
6 .code
7 0000 main proc far
8 0000 E8 0008 R call b10 ; call b10
9 ; ........
10 0003 B8 4C00 mov ax, 4c00h
11 0006 CD 21 int 21h
12 0008 main endp
13 ;--------------------------------------
14 0008 b10 proc near
15 0008 C3 ret
16 0009 b10 endp
17 ;--------------------------------------
18 end main

Fedor vs Sylvia (36 second K.O)

2008-07-20T15:52:00.000+09:00

오늘 낮 12시에 한 경기..

격투 잘 안보는데.. 표도르 역시 짱이네요 ㅋㅋ