DLL여러 응용 프로그램에서 동시에 사용할 수 있는 실행가능한 함수 or 데이터의 공유 라이브러리-> exe와 달리 자체적으로 코드를 실행할 수는 없다장점코드 모듈화코드 재사용효율적인 메모리 사용핵심 dll들은 거의 모든 윈도우 프로세스에서 사용된다.-> 따라서 한 물리공간에 매핑하고 가상주소에서 여기를 가리키도록 한다-> 즉, 하나의 프로세스에서 dll의 특정 함수 주소를 알아내면 모든 프로세스에서도 그 주소는 동일하다예) kernel32.dll, ntdll.dll, user32.dll 등 DLL 만들기 & 실행visual studio에서 cpp파일 만드는 것처럼 새 프로젝트에서 dll을 선택하면 템플릿이 생성된다.DLL 진입점DLL_PROCESS_ATTACH: 프로세스가 DLL을 로드DLL_THREA..

윈도우 API앞에 P가 붙으면 그 형식의 포인터를 나타낸다뒤에 A가 붙으면 ANSI 형식이다뒤에 W가 붙으면 UNICODE 또는 Wide를 뜻한다.__IN__, __OUT__ 키워드는 주석용이다. 데이터 형식DWORD: 0 ~ $2^{32}-1$까지 나타내는 32비트 값SIZE_T: 객체의 크기를 나타내는데 사용되는 값32비트: unsigned int64비트: signed intVOID: 데이터 형식이 없음PVOID: 포인터 (= void*)32비트: 4바이트 포인터64비트: 8바이트 포인터HANDLE: 운영체제가 관리하는 개체를 지정하는 값파일, 프로세스, 스레드 등...HMODULE: 모듈에 대한 핸들exe, dll 등...LPCSTR / PCSTR (= const char*)ANSI문자로 이루어진 ..

윈도우 아키텍쳐사용자 프로세스: 사용자가 실행하는 응용 프로그램subsystem DLL: 사용자 프로세스에서 호출되는 API를 포함한 DLL예) CreateFile()은 kernel32.dll에 포함되어있음NTDLL: 시스템 전체 DLLuser-kernel 전환을 생성하는 특수 DLL네이티브 API or NTAPI라고도 함kernel: 드라이버 및 모듈을 호출해 작업을 완료함부분적으로 C:/Windows/System32/ntoskrnl.exe에 일부 저장되기도 함함수 호출 흐름예) CreateFile을 호출한다면...사용자 프로세스에서 CreateFile호출subsystem DLL (kernel32.dll)에서 CreateFile API 호출NTDLL을 통해 NtCreateFile 호출 이후 ..

악성코드란 무엇인가?악성코드: 컴퓨터에 악영향을 미칠 수 있는 모든 소프트웨어의 총칭형태에 따른 분류바이러스정상 파일, 부트섹터 감염 악성코드다른 정상 파일에 빌붙음웜네트워크로 확산되는 악성코드트로이 목마특정 조건이 성립될 때 동작하는 악성코드보통 정보 유출을 위해 제작됨백도어해커들이 접근하기 쉽게 뒷문을 만드는 악성코드스파이웨어정식 소프트웨어 내에 광고같은거 넣어놓음즉 정상 소프트웨어 내에 광고 띄우는 프로그램이 내장애드웨어광고 노출을 목적으로 하는 악성코드 악성코드 분석나는 https://bazaar.abuse.ch/ 여기서 악성 파일을 다운받는다.정적 분석악성 파일을 실행하지 않고 뜯어보며 분석도구: 보통 리버싱 도구를 많이 활용함HxDdetect it easypestudio동적 분석악성 파일을 직..

악성코드 개발 주기(MDLC)(정식 명칭은 아니고 SDLC 패러디다.)개발 - 테스트 - 오프라인 테스트 - 온라인 테스트 - IoC 분석개발악성 소프트웨어의 기능 개발 또는 개선을 시작테스트지금까지 개발된 코드에 숨겨진 버그를 찾아내기 위해 테스트를 수행오프라인 AV/EDR 테스트개발된 악성코드를 가능한 한 많은 보안 제품에 대해 테스트 샘플이 외부로 전송되지 않도록 오프라인으로 테스트를 진행하는 것이 중요함이떄, 클라우드 기반 보호 옵션을 비활성화해야 함온라인 AV/EDR 테스트인터넷에 연결된 보안 제품을 대상으로 개발된 악성코드를 테스트클라우드 엔진은 AV/EDR의 핵심 구성 요소인 경우가 많으므로, 이러한 구성 요소를 대상으로 악성코드를 테스트하는 것은 더욱 정확한 결과를 얻는 데 중요함! 이 단..