Broken Code (window31) :: XP/S2K3/Vista/Win7 bugs help malware to survive 번역자료

XP/S2K3/Vista/Win7 bugs help malware to survive 번역자료

2009/04/13 21:07

XP/S2K3/Vista/Win7 bugs help malware to survive 번역자료

Kaspersky_CodeGate2009_src.zip

번역_XPS2K3VistaWin7 bugs help malware to survive_CodeGat.pdf

이번 코드게이트 2009때 Kris Kaspersky 가 XP/S2K3/Vista/Win7 bugs help malware to survive
에 대해 발표한 PPT 자료를 제멋대로 각색한 글입니다. 원문 내용을 그대로 옮긴 것도 있고 제
맘대로 부연설명을 덧붙힌 것도 많습니다(번역이라기보다 거의 새로 썼다는게 맞을듯 ;; 하지만
저작권은 제가 아니고 Kris 에게 있습니다 :) ) 통역이 중간에 끊긴 탓에 발표내용은 거의 알아들을
수 없었고, 또 PPT 자료만으로도 내용을 완전히 받아들이기 힘들 거 같아 제 나름대로 삽질을
해본 후에 한번 작성해봤습니다.

Kris 가 발표후에 소스는 공개하지 않았기에, 발표자료를 보면서 한번 대충 이런거겠지 하는
마음으로 만들어본 풀 소스코드도 함께 첨부합니다. 변수명이나 뭐 그런것들은 가급적 PPT 에
나온 코드와 동일하게 만들려고 꾸며봤습니다만 워낙 ㄱㅈ 같은 코드라서 좀 보시기 역할수도
있는데요 :) 쵸큼 이해해 주시고요 :p

원하는 대로 마음껏 퍼가도 상관없습니다.
이 자료를 보시는 분들에게 쵸큼이라도 도움이 되길 바라며.

window31. 2009년 4월.

이올린에 북마크하기

Posted by window31

트랙백 1 : 댓글 39

트랙백 보낼 주소 : http://window31.com/trackback/257

코드게이트2009 카스퍼스키 발표 자료 번역

from NCHOVY 인터넷 스톰 센터

2009/04/13 23:52

강병탁 님께서 자료를 해석해서 크리스 카스퍼스키 발표 한글판을 새로 만들어주셨네요. 아래는 원 출처입니다. XP/S2K3/Vista/Win7 bugs help malware to survive 번역자료

댓글을 달아주세요

Sun2Day

2009/04/13 21:42

자료 감사합니다 ㅇ_ㅇ//
- window31
  
  2009/04/14 17:46
  
  네 감사합니다 ^^

xeraph

2009/04/13 23:40

오.. 못 알아들어서 아주 죽을 맛이었는데 자료 잘 만드셨네요..
감사합니다!
- window31
  
  2009/04/14 17:46
  
  어익후 감사합니다 ! 저도 못 알아들었습니다 ㅎ

mat

2009/04/14 05:11

흥미롭네요.

전 말웨어 리서치는 안해서 잘 모르지만, 첫번째에 dll없는 인젝션은 일부 보안 제품들에서 사용중입니다. 저희 제품에도 사용중이거든요. 물론 dll 방식에 비해서 한없는 삽질이 필요하죠. 제가 개발한 것은 아니고, 하여튼 어셈블리의 구루분께서 개발해 놓으셨는데...

저기에 나온 방식 외에도 쓰레기 데이타를 잔뜩 집어 넣어 놓는 짓도 하더군요 종종. 인스트럭션으로 해석이 안되는 그 부분은 신기하게도 그냥 아무 처리도 안하고 valid한 인스트럭션으로 넘어 가서 실행된다는... windbg에서 보면 쓰레기 코드로 보이죠.
- window31
  
  2009/04/14 17:55
  
  그렇군요 ! 저런식으로 코딩하려면 어셈을 좀 많이 알아야 하긴 하죠 ㅎㅎ
  제가 만든거야 워낙 단순한거니...;
  근데 보안 모듈이 저런 행위를 한다니,, 저런 부분을 스캔하는 또다른 보안 모듈도 있을텐데
  (저희도 만드는 중입니다)
  한번 충돌 잇슈가 없는지 살펴봐야겠네요.
  mat 님께는 항상 좋은 정보를 많이 얻어가게 되는 것 같습니다. 감사드립니다 !!

rodream

2009/04/14 09:05

좋은 자료 감사합니다!!
- window31
  
  2009/04/14 17:51
  
  네 별말씀을요 ㅎㅎ

bluegene

2009/04/14 10:38

재미있게 봤습니다. 감사합니다 ^^

코드에서 한가지 궁금한게 있는데요...
혹시 TLSEx/main 함수에서 아래 call ds:fnTLSExDll 부분은 없어도
되는 코드가 맞나요? 제가 이해한대로라면 DLL 의 EP 를 바꾸는
부분에서 써지니까 굳이 쓰지 않아도 되는 부분인가 해서요..
관심만 갖는 분야라 정확히 알지 몰라서 여쭙습니다 ^^;;;
- window31
  
  2009/04/14 17:52
  
  TLSEx()를 사용한 이유는 DLL을 EXE의 Import 테이블에 붙게 하기 위한 목적입니다.
  그래야 DllMain()이 호출되니까요 : )
  만약 TLSEx 호출 코드가 없다면 DLL 자체가 붙지 않겠죠

HS

2009/04/14 10:48

오오오~~!! 잘 볼게요~ㅋ
- window31
  
  2009/04/14 17:52
  
  잘 보기전에 밥을 사고!

ng

2009/04/14 11:07

좋은글 감사합니다. 잘 봤어요~
- window31
  
  2009/04/14 17:52
  
  링크까지 달아주시니 감사합니다 (__)

somma

2009/04/14 12:41

와~ 멋져요.
선리플 후 감상~~
- window31
  
  2009/04/14 17:53
  
  ㅎㅎ 선감상 후 악플이 아니라 다행이예요

codewiz

2009/04/14 13:14

간지... ㅋㅋ~
감상후 리플 ^^;;

재미난 방법이 많이 있네용...
고생하셨어열... 히히~~ @.@
- window31
  
  2009/04/14 17:53
  
  ㅋㅋ 감사 맛잇는거 좀 사줘요ㅕ

헐랭이

2009/04/14 13:19

somma님 죄송합니다. 선감상 후리플을 했습니다.
- window31
  
  2009/04/14 17:53
  
  오우.. 헐랭이님께서 친히 댓글을...

darkhi

2009/04/14 16:15

잘봤습니다.
이러한 번역 자료들이 많이 많이 나왔으면 좋겠네요. 헤헤...
- window31
  
  2009/04/14 17:54
  
  저보다 더 잘하시는 분들이 만들어놓으신 번역 자료들 참 많이 있습니다 ^^

이아우

2009/04/15 01:14

잘 봤습니다.
좋은 자료 감사합니다. :D..
- window31
  
  2009/04/17 16:47
  
  네 잘 봐주셨다니 감사합니다 : )

아크몬드

2009/04/18 23:04

오오.. 대단하십니다.
- window31
  
  2009/04/23 02:19
  
  딱히 대단한 건 없어요 ㅎㅎ;;

vbdream

2009/04/19 16:36

좋은 자료 감사합니다... *^^*

그런데, 첫 장부터 제가 DllGuard 구현할 때 방어하기 위해 직접 구현했던 기법들이 써져있네요... lol
- window31
  
  2009/04/20 19:01
  
  엇~ 그러고 보니 그러네요 ㅋㅋ
  Kris 에게 vbdream 님 블로그를 좀 알려줘야 할듯 : )

ZIZI

2009/04/20 17:14

오우~ 잘 보겠습니다. 훌륭한 일을 하시는군요..^^b
- window31
  
  2009/04/20 19:01
  
  그냥 주말에 할일이 없어서요 ㅎ

dokd0

2009/04/21 11:49

좋은자료 감사합니다 ^^*
- window31
  
  2009/04/23 02:18
  
  네 감사합니다 ^^

n0fate

2009/04/21 19:01

뒤늦게 보게 되었습니다 좋은자료 잘 보겠습니다^^
- window31
  
  2009/04/23 02:19
  
  하하 감사합니다.

pdpdds

2009/04/30 18:46

카스퍼스키가 설명할 때 통역등의 문제로 전혀 이해가 되지 않았고 문서자체만으로도 이해가 힘들었는데 님께서 만든 자료를 보고 많은 의문점이 풀렸습니다. 제가 댓글은 잘 안다는 편인데 이렇게 글로써 감사함을 전하고 싶습니다. 앞으로 하시는 일 잘되길 바라겠습니다.~
- window31
  
  2009/05/05 13:31
  
  좋은 말씀 감사합니다 ! 도움이 되셨다니 저도 기쁘네요 : )