전체 글
CodeEngn Malware03 풀이
3번도 마찬가지로 어떤 악성코드 소스를 분석하는 문제입니다. 이번 문제는 매우 간단합니다. 어떤 함수인데 데이터랑 그 데이터를 길이를 받고 있습니다. 해당 데이터를 접근하여 해당 값들을 하나씩 value 변수에 중첩시키고 있습니다. 그리고 함수를 리턴할 때 그 중첩된 값 들을 비트반전시켜 리턴해주고 있습니다. 아마도 체크썸함수를 계산해주는 함수로 통신시에 체크섬값을 만들어서 데이터의 무결성을 판단하는 체크썸을 만들어서 공격자가 의도한 악성코드를 전송하는데 사용할 것 같습니다.
CodeEngn Malware02 풀이
2번문제입니다. 역시나 악성코드 소스분석입니다. 일단 또 한줄씩 살펴보겠습니다.첫부분을 보면 body라는 배열안에 xml헤더 같은 문자열을 정의하는 부분이 보입니다. 일반적인 xml 정의 코드와는 다르게 DAV라는 문자가 있네요. 그래서 검색을 해보았습니다. 해당 xml코드는 WebDAV라는 프로토콜을 사용하기 위한 정의 방법이였습니다. 여기서 WebDAV 프로토콜은 웹을 읽고 쓰기가 가능한 매개체로 만들고, 사용자가 서버(일반적으로 웹 서버나 웹 공유) 의 문서를 만들고 변경하고 이동할 수 있는 프레임워크를 제공한다고 합니다.일반적인 WebDAV 정의방법입니다. 해당코드와 매우 유사합니다. WebDAV를 사용하는걸 확실히 알 수 있습니다. 여기선 sql문이 보이는것으로 보아서 어떤 쿼리문을 실행시키는 ..
CodeEngn Malware01 풀이
악성코드소스를 분석하여 현재 이 악성코드의 공격방법을 알아 내는 것이 목표입니다. 소스코드를 열고 한줄한줄 분석해 보았습니다.현 악성코드의 앞쪽 부분입니다. 단순히 TCP/IP의 헤더를 참조하여 헤더의 값을 세팅하고 있습니다. TCP/IP 에 대하여 좀더 알아보면.. IP는 OSI 7계층 중에서 3계층에 속하는 프로토콜로 Network 계층을 의미합니다. 이 계층은 여러개의 노드를 거칠때마다 경로를 찾아줍니다. 그리고 다양한 길이의 데이터를 네트워크들을 통해 전달하고, 그과정에서 전송계층(Transport Layer)이 요구하는 서비스 품질을 제공하기 위한 기능적, 절차적 수단을 제공합니다. IP 헤더의 모습입니다. 코드에서도 해당 구조체 멤버들에게 직접 값을 넣어주는 것을 볼 수 있습니다. 다음은 TC..