2016. 12. 13. 00:00ㆍ리눅스/모의 해킹
bind text로 추출 및 필요부분만 남김
File pos Mem pos ID Text
======== ======= == ====
00000000289F 00000040289F 0 kernel32.dll
0000000028B7 0000004028B7 0 msvcrt.dll
0000000028CB 0000004028CB 0 JO840112-CRAS8468-11150923-PCI8273V
0000000028EF 0000004028EF 0 HASTATI.
000000002901 000000402901 0 %s*.*
000000002907 000000402907 0 Program Files
000000002915 000000402915 0 ProgramData
00000000292B 00000040292B 0 \\.\%c:
000000002933 000000402933 0 \\.\PhysicalDrive%d
00000000294A 00000040294A 0 shutdown -r -t 0
00000000295B 00000040295B 0 taskkill /F /IM pasvc.exe
000000002975 000000402975 0 taskkill /F /IM Clisvc.exe
00000000289F 00000040289F 0 kernel32.dll
0000000028B7 0000004028B7 0 msvcrt.dll
프로그램을 실행할때 필요한 dll파일 (커널)
0000000028CB 0000004028CB 0 JO840112-CRAS8468-11150923-PCI8273V
위 'JO840112-CRAS8468-11150923-PCI8273V' 라는 파일매핑 오브젝트의 존재여부 확인 하여
단 하나의 프로세스만 실행하도록 한다. / 해당 이름으로의 스스로를 참조하는 파일 매핑개체 생성
0000000028EF 0000004028EF 0 HASTATI.
'HASTATI' 라는 문자열로 하드 및 아래 나열된 위치에 덮어 씌웁니다.
000000002901 000000402901 0 %s*.*
000000002907 000000402907 0 Program Files
000000002915 000000402915 0 ProgramData
00000000292B 00000040292B 0 \\.\%c:
000000002933 000000402933 0 \\.\PhysicalDrive%d
이곳에 'HASTATI' 로 도배해둠 (기존데이터 삭제)
00000000294A 00000040294A 0 shutdown -r -t 0
재부팅 시킨다
00000000295B 00000040295B 0 taskkill /F /IM pasvc.exe
000000002975 000000402975 0 taskkill /F /IM Clisvc.exe
보안프로그램 (anti virous 프로그램 강제 종료) / winEXEC api를 이용함
------------------------------------------------------------------------------------
System Explorer 를 이용한 악성코드 실행 전 / 후 비교
1 이라는 이름으로 악성코드 실행 전 스냅샷 보존
악성코드 실행
2 라는 이름으로 악성코드 실행 후 스냅샷 저장
1,2 스냅샷 비교
변경된 스냅샷 목록
악성코드 실행 후.zip
HXD로 하드디스크 내용이 HASTATI 로 덮혀 씌워진 것을 확인할수 있다.
process monitor 을 이용한 악성코드 실행 전 / 후 비교
악성코드 실행 전
악성코드 가동중인 모습
5분후 시스템이 재부팅 되고
부팅이 되지 않는 모습을 확인하세요
오픈 블로그 에는 악성코드를 첨부하지 않습니다. (컴으로 켜시면 컴이 날라가요.. ㅎㅎ)
'리눅스 > 모의 해킹' 카테고리의 다른 글
| 카인과 아벨을 이용한 계정 비밀번호 크랙 (0) | 2016.12.08 |
|---|---|
| 스마트폰 해킹 android 모의해킹 (13) | 2016.11.23 |