Broken Code (window31)

아주 웃긴 CPU 모니터링 체크 프로그램이 있네요.

http://hotbabe.planlos.org/download.html

설명이 필요없습니다. 직접 써보셔야 압니다.

가장 빨리 테스트 할 수 있는 방법은 프로그램을 실행해 놓고 백신 같은거 돌려서
CPU 를 최대한 올라가게 만드는 겁니다.
그러면 저 아해가 CPU 점유율에 따라 옷과 관련된 어떤 액션을 취할겁니다 ;;;

남자분만 쓰시는게 좋을듯 ;







SetTimer()로 만들어 두어서 그런지, CPU가 찰 때 즉시즉시 반영이 되지 않던데,
스레드로 만들고 우선순위 팍팍 높여놓았다면 더 좋지 않았을까 하는 생각이 드네요 흐흐흐

프로그램의 요점은 비트맵 4개 넣고 투명 속성을 CPU 율에 따라 달리 해 준다는 것
CCpuUsage 클래스는 그대로 가져다가 쓸만하네요.
소스까지 오픈되어 있으므로 한번 보세요 :)

성희롱 소지가 있으므로 여직원분들이 계신 앞에서는 실행하지 마시고...
(그러나 참고로 이걸 저한테 보내주신 분은 여자분이라는 것 ; )



저는 절대적으로 CPU 체크 소스를 공유할 목적으로 이 포스팅을 한겁니다 !!!

어떠한 프로그램이든 버그는 있습니다. 그리고 버그는 보통 내부 테스트 중이 아닌
필드 서비스 중에 발생합니다. 그런 버그는 시스템이나 환경 탓에 발생하는 이유가
대부분이라 뭐 무조건 개발자를 탓하기도 사실 그렇습니다. 인간들이 사용하는 컴퓨터의
환경이 당연히 제각각이고 그런 알 수 없는 상황에서 또다른 인간이 짠 프로그램이라면
당연히 버그가 한두번쯤은 발생할 수밖에 없거든요. 따라서 버그가 발생하면 "아 ㅅㅂ
또 문제있네 어떤 색퀴가 만든거냐" 라고 외칠 시간 있으시거든 잠이나 좀더 주무시고
최대한 빨리 원인을 밝혀서 재현 스텝에 들어가고 문제를 해결해야 합니다.

여기서 그 버그가 발생하였을 때, 문제를 제기하는 자세에 대해 한번 생각해 보려고 합니다.
일단 서비스 하는 입장 그리고 사용하는 입장에서 버그 발생이라는 것은 무척 화가 나는
일이라는 것은 부정할 수 없는 명제입니다. 충분한 개발 시간을 제공하였고, 충분한 테스트를
진행 하였지만 버그가 발생했습니다. 화가 나죠. 이제 에러 리포팅을 해야 할 차례입니다.
어떻게 하는 것이 올바른 태도 일까요.

버그가 발생했을 때는 먼저 발생하는 상황, 그리고 더 나아가서 재현이 될 만한 환경
그리고 로그나 덤프가 있다면 해당 파일을 캐취해 놓는 그런 기본적인 자료확보는
아주 기본 중의 기본이 되는 내용입니다. 개발자는 이런 기반을 제공받는다면 버그를
정말 빠른 시간 안에 수정할 수 있게 됩니다. 하지만 그렇게 충분한 데이터를 확보해 둔
상태에서 버그 리포트를 제공하는 사람이 얼마나 될까요? QA 전용 인력이거나 본래
운영력이 있으신 분들이라면 모르겠지만 걍 민간인 담당자나 대부분의 사람들은
보통 이렇습니다.

"아 ㅅㅂ 이거 갑자기 크래시 되네"
"야 당장 전화 때리고 멜 날려. 문제있다고 얘기해."

그리고 개발팀에 일단 문제있다고 컴플레인을 제기합니다. 뭐 거기까지는 좋습니다.
일단 상황 리포팅만 하고 이후에 추가 데이터를 전달할 수도 있으니까요. 하지만
상당히 많은 담당자들이 원인 추적을 할만한 어떠한 자료제공도 없이 그저 조금전
자기 눈으로 문제 발생한 상황만을 들먹이며 계속 고쳐내라고 막무가내로 고집만을
부립니다. 그러면 당연히 해결이 될 수가 없겠죠... 그리고 그렇게 시간이 흘러갑니다.
무언가 요청이 처리되지 않는 것이라 느껴지고 있는 시간이 반복되면 이 버그 리포트는
"개발팀에서 비 협조적이다" 라는 공포스런 항의문으로 둔갑하여 윗선에게 보고되고
개발팀은 정말 황당하고 억울하고 속상한 채로 고렙들에게 불려가게 됩니다.

뎅꽁이의 보안창고로 유명한 후미후 님께서 알려주셨는데요,
IT 시큐리티 라는 이번 신간에서 제 블로그가 소개되었다고 합니다. :)

아래 디카로 찍은 사진과 이 포스트의 제목은 후미후 님 블로그에서 불펌 했습니다 :p









저자 강은성 상무님은 예전에 안랩에 계실때 세미나 들었던 기억이 나는데
이젠 SK 에 계시는군요. 아... 그분 같은 고렙께서 제 블로그에 들어오셔서 보신다고 생각하니
앞으로 ㅅㅂ 같은 표현은 좀 자제해야겠다는 생각이 드네요 :$

암튼 좋은 책에 별거 아닌 제 블로그를 소개해 주셔서 감사드리며
책 내용을 아직 직접 보진 않았는데, 집필하신 의도대로 어려운 해킹/보안 개념을 쉽고 친근하게
다가갈 수 있는 서적의 하나로써 잘 자리매김 했으면 좋겠습니다 ^^

음악이 흘러나오는 블로그가 많습니다. 그런데 아쉽게도 "다른 이름으로 저장" 같은 기능이
없는 관계로 그 음악을 듣고 싶으면 꼭 그 블로그에 방문해야만 합니다. mp3 player 등에
넣은 후 들으면서 다니고 싶어도 그럴수가 없습니다. 좋은 방법이 없을까요?

블로그에 접속한 뒤 울려퍼지는 노래는 사실은 내 컴퓨터 어딘가에 저장되어 있습니다.
파일로 저장되어 있겠죠, 그리고 블로그는 인터넷 익스플로러 프로세스입니다. 자 여기까지
보았으면 무언가 감이 빡 오지 않나요? 파일이라면 handle 이 있을겁니다 !
즉, iexplore.exe 의 handle list 를 구하고, 음악 파일 확장자를 찾아본다면
음악 파일이 어디있는지 알 수 있겠죠, 그것을 나의 폴더로 복사하기만 하면 됩니다.

한번 구현해 볼까요 :)

먼저 iexplorer.exe 의 pid 를 구합니다. 인터넷 익스플로러를 여러 개 띄워놓을 수도 있으니
벡터를 썼습니다.
if (Process32First(hProcessSnap, &pe32)) { do { if (strstr((char *)pe32.szExeFile, "iexplore.exe")) { pidVector.push_back(pe32.th32ProcessID); bFound = true; } } while (Process32Next(hProcessSnap, &pe32)); } CloseHandle(hProcessSnap);

핸들 리스트를 구하기 위해서는 ntdll 의 api 가 필요한데요, 우리가 써야 할 것은
ZwQuerySystemInformation, ZwQueryObject, ZwClose 입니다.

그리고 몇가지 undocument 구조체가 필요합니다 (아, 더이상 undocument 가 아니죠 ㅎㅎ)
얘네들을 선언해놓을 필요가 있습니다 (인터넷을 잘 찾으면 널려 있습니다)

SYSTEM_HANDLE_INFORMATION,
OBJECT_BASIC_INFORMATION,
OBJECT_TYPE_INFORMATION,
OBJECT_NAME_INFORMATION 등입니다.


이제 갑니다. ZwQuerySystemInformation() 을 사용합니다. 첫번째 인자로 
SystemHandleInformation 을 준다는게 요점입니다.
DWORD nCount = 100; PULONG pULONG = (PULONG)malloc(nCount * sizeof(SYSTEM_HANDLE_INFORMATION) + sizeof(ULONG)); while (ZwQuerySystemInformation(SystemHandleInformation, pULONG, nCount * sizeof(SYSTEM_HANDLE_INFORMATION)+ sizeof(ULONG), 0) == STATUS_INFO_LENGTH_MISMATCH) { free(pULONG); nCount += 50; pULONG = (PULONG)malloc(nCount * sizeof(SYSTEM_HANDLE_INFORMATION) + sizeof(ULONG)); } ULONG nHandles = *pULONG; PSYSTEM_HANDLE_INFORMATION aHandles = (PSYSTEM_HANDLE_INFORMATION)(pULONG + 1);


그런데 사실 한 프로세스에 handle 은 엄청나게 많겠죠. 그중에서 우리가 필요한건
file handle 입니다. 따라서 그것만 추려내면 됩니다. 그 속성은 OB_TYPE_DEVICE 로,
OS 마다 값이 다르므로 판별할 필요가 있습니다. 아래는 셋팅 코드입니다. XP에서만
돌아가게 만들거면 강제로 0x1C 로 집어 넣으세요 ㅎ

ULONG nHandles = *pULONG; PSYSTEM_HANDLE_INFORMATION aHandles = (PSYSTEM_HANDLE_INFORMATION)(pULONG + 1); // File Handle () // #define OB_TYPE_DEVICE 0x1A // 2000 // #define OB_TYPE_DEVICE 0x1C // XP // #define OB_TYPE_DEVICE 0x1C // 2003 // #define OB_TYPE_DEVICE 0x19 // VISTA DWORD dwTypeNumber = 0; switch(si_dwWinOS) { case WINNT: dwTypeNumber = 0x1A; break; case WIN2K: dwTypeNumber = 0x1A; break; case WINXP: dwTypeNumber = 0x1C; break; case WIN2K3: dwTypeNumber = 0x1C; break; case WINVISTA: dwTypeNumber = 0x19; break; }


자 이제 한번 핸들 갯수만큼 루프문을 돌아 볼까요~
고고씽!
for (ULONG i = 0; i < nHandles; i++) { if (aHandles[i].ProcessId == pid && aHandles[i].ObjectTypeNumber == dwTypeNumber) { HANDLE hObject; OBJECT_BASIC_INFORMATION obi; POBJECT_TYPE_INFORMATION pOti; POBJECT_NAME_INFORMATION pOni; ULONG nTypeName, nObjectName, n; if (DuplicateHandle(hProcess, (HANDLE)aHandles[i].Handle, GetCurrentProcess(), &hObject, 0, 0, DUPLICATE_SAME_ACCESS) == FALSE) continue; ZwQueryObject(hObject, ObjectBasicInformation, &obi, sizeof(obi), &n); //Object Type nTypeName = obi.TypeInformationLength + 2; pOti = (POBJECT_TYPE_INFORMATION)malloc(nTypeName); ZwQueryObject(hObject, ObjectTypeInformation, pOti, nTypeName, &nTypeName); MYLOG("%-14.*ws ", pOti->TypeName.Length / 2, pOti->TypeName.Buffer); MYLOG("%p %04hx %3lx %3ld %4ld ", aHandles[i].Object, aHandles[i].Handle, obi.Attributes, obi.HandleCount - 1, obi.ReferenceCount/*PointerCount*/ - 2); // Object Name nObjectName = obi.NameInformationLength == 0 ? MAX_PATH * sizeof (WCHAR) : obi.NameInformationLength; pOni = (POBJECT_NAME_INFORMATION)malloc(nObjectName); if (NT_SUCCESS(ZwQueryObject(hObject, ObjectNameInformation, pOni, nObjectName, &nObjectName))) {

Object Type 은 File , Mutant, Event 머 이런걸 가리키는 겁니다.
우리는 당연히 File 만 가져옵니다.
그리고 ZwQueryObject() 를 돌면서 ObjectNameInformation 를 가져옵니다. 이제 수많은
파일 핸들 리스트가 쭈욱 뽑힐겁니다.

근데 경로가.... \Device\HarddiskVolume1\Documents and Settings\.... 이딴식으로
나옵니다. C:\Document and Setting\ 이런식으로 나오면 아주 편할텐데 말이죠...
윈도우즈가 깔린 드라이브를 구해주는 API 아시는 분 혹시 있나요...;
전 무식해서 이렇게 구했습니다.

1. GetWindowsDirectory() 로 C:\WINDOWS 같은걸 구한다.
2. \ 이후의 WINDOWS를 짤라버린다.
3. C:\ 만 남는다.

char szDrive[MAX_PATH]; GetWindowsDirectory(szDrive, MAX_PATH); char *pp = strchr(szDrive, '\\'); *(pp + 1) = '\0';

그것 조차 귀찮으신 분은 이 플그램을 쓰는 모든 유저는 C:\ 에 윈도우즈를 깔아야만 한다 라고
가정하신후 C:\ 로 하드코딩하세요 ㅋㅋ 뭐 돈받고 팔아먹을 플그램도 아닌데요 :)
(아 이런 마인드 진짜 좋지 않습니다 ㅠ ㅠ)

자, 파일의 풀패스가 pOni->Name.Buffer 에 유니코드로 들어옵니다.
음악 파일인지 비교하시고 맞다면 로그 한방 찍어주고~
if (wcsstr((wchar_t *)pOni->Name.Buffer, L".wma") || wcsstr((wchar_t *)pOni->Name.Buffer, L".flv") || wcsstr((wchar_t *)pOni->Name.Buffer, L".mp3")) { MYLOG("%-14.*ws ", pOti->TypeName.Length / 2, pOti->TypeName.Buffer); MYLOG("%p %04hx %3lx %3ld %4ld ", aHandles[i].Object, aHandles[i].Handle, obi.Attributes, obi.HandleCount - 1, obi.ReferenceCount/*PointerCount*/ - 2);


자 이제 복사하면 끝이죠.

MYLOG("szSource: %s", szFullPath); MYLOG("szTarget: %s", szTargetPath); CloseHandle(hObject); BOOL bCopy = CopyFile(szFullPath, szTargetPath, FALSE); 


실제로 만들어보니 아주 잘 돌아갑니다.
우우우우우우웁스 0.001 입니다.




실제로 이런식의 구현은 어디 남의 서버에 침투해서 파일을 빼오는게 아니고
그냥 자기 PC 의 어딘가에 숨어있는 파일을 내가 아는 폴더로 복사하는 것 뿐입니다.
따라서 해킹툴 제작과는 전혀 상관없음을 말씀드립니다..

학습/연구 목적이므로 툴과 풀 소스는 따로 베포하지 않습니다.
단지 file handle 을 이런식으로 가지고 놀 수 있다는 것을 보여주기 위해 포스팅했습니다.
쉬운 예를 들기 위하여 블로그에서 음악 파일을 가져오는 것에 비유해 보았고요

file handle, 파고들어보면 재미있는 내용이 많습니다 :)





window31. 2009년 4월





ps
당연히 플래시 파일인 swf 도 가져올 수 있겠죠 :)

이번 코드게이트 2009때 Kris Kaspersky 가 XP/S2K3/Vista/Win7 bugs help malware to survive
에 대해 발표한 PPT 자료를 제멋대로 각색한 글입니다. 원문 내용을 그대로 옮긴 것도 있고 제
맘대로 부연설명을 덧붙힌 것도 많습니다(번역이라기보다 거의 새로 썼다는게 맞을듯 ;; 하지만
저작권은 제가 아니고 Kris 에게 있습니다 :) ) 통역이 중간에 끊긴 탓에 발표내용은 거의 알아들을
수 없었고, 또 PPT 자료만으로도 내용을 완전히 받아들이기 힘들 거 같아 제 나름대로 삽질을
해본 후에 한번 작성해봤습니다. 

Kris 가  발표후에 소스는 공개하지 않았기에, 발표자료를 보면서 한번 대충 이런거겠지 하는
마음으로 만들어본 풀 소스코드도 함께 첨부합니다. 변수명이나 뭐 그런것들은 가급적 PPT 에
나온 코드와 동일하게 만들려고 꾸며봤습니다만 워낙 ㄱㅈ 같은 코드라서 좀 보시기 역할수도
있는데요 :) 쵸큼 이해해 주시고요 :p

원하는 대로 마음껏 퍼가도 상관없습니다.
이 자료를 보시는 분들에게 쵸큼이라도 도움이 되길 바라며.


window31. 2009년 4월.

코드게이트 2009 다녀왔습니다.
모든 세션을 다 못본지라... 본것만 간단히 후기만 작성해 보겠습니다.

일단 세션 소개... (except of 시상식)

session 1
Embedded Systems Security - Ryan Clarke (美 UAT 대학 교수)
Reverse Engineering made easier (Binary static Analysis) - Alex Radocea (美 RPJ)
The Current Realities of Cyber Warfare and Cyber Espionage - Eli Jellenc(美 iDefense)
XP/S2K3/Vista/Win7 bugs help malware to survive - Kris Kaspersky (McAfee)

session 2
사이버 보안 국제 표준화 동향 - 염흥열 (순천향대 교수)
Online Game Security (Overview & Game BOT Detection) - 김휘강 (NCSoft 보안실장)
Current Issue of the security and Information management - 임종인 (고려대 교수)
인증서 보안 - 김우현 (서강대)

http://www.codegate.org/Front/Conference/?CodeFlag=0001

제가 본건 Kris Kaspersky 의 XP/S2K3/Vista/Win7 bugs help malware to survive 와
김휘강 실장님의 Online Game Security (Overview & Game BOT Detection) 였습니다.
다른것도 관심이 있는것이 있었지만, 세션이 겹쳐서 못 들었거나 아님 밖에서 노느라
못 들었거나 뭐 그런 거 같네요 :)  따라서 그 두개만 후기를 작성해 보겠습니다.

Online Game Security (Overview & Game BOT Detection)
- 김휘강 (NCSoft 보안실장)

저는 김휘강 실장님의 강연을 매우 좋아합니다. 이미 보안계의 거장이라는 사실은
제쳐두고서라도 정말 이분은 정말 국내에 몇 안되는 글쟁이 연설쟁이 입니다. 이분은 항상
페이스를 놓치지 않는 그 발표 태도가 정말 존경스러운 것 같습니다. 보통은 발표에 몰입하게
되면 흥분도 하게되고 속도도 빨라지게 되는데, 이분은 언제 어디서 어떤 내용을 풀어주시던
간에 흥분하시는 일이 없고 항상 적당한 간격을 유지하는 진행능력이 참 대단하다고
생각합니다. 그리고 원론적인 내용이나 일반적인 상식들도 지겹지 않게 각종 잇슈를 잘
풀어헤쳐주시는 스타일이라고 생각됩니다.

이번 발표는, 말 그대로 Overview. 좀더 나아가서는 게임회사의 보안 담당자들이
어떤 일을 하고 있는지 총괄 정리한 내용으로 생각해도 좋을 것 같습니다. 깊숙히 들어가지
않은 부분도 있지만 웬만한 몸통이나 굵은 가지는 다 다룬 것 같네요. 특히나 마음에 들었던
것이 바로 그 분류 방법입니다. 게임 보안이라는 분야... 보안 업계에서도 약간 희귀성과
특이성을 가진 이 분야에 있어 사실 저는 지금까지의 분류방법이 너무도 맘에 들지 않았습니다.

왜냐하면, 너무 엿장수 마음대로 였거든요. 게임에서 계정 해킹을 막는 것만을 게임 보안이라고
하질 않나, 게임 보안솔루션만을 게임 보안이라고 하질 않나, 아니면 게임회사에서 그냥
일반적인 보안하는 사람들도 게임보안 한다고 하질 않나 등등 신문기사에 다루어진 내용이나,
아님 좀 안다는 사람들이 풀어헤친 칼럼을 봐도 그 개념이 정말 중구난방입니다. 솔직히 화가 날
정도로 니들 마음대로 분류했다고 생각합니다.

하지만 이번 김휘강 실장의 강연은 게임보안을 3가지로 분류했습니다.

-Information security for online game publisher and studios information assets
  (servers, network, DB and applications)
-Security process or systems for online game users
-Security process or systems for online game client and server programs

첫번째 내용은 굳이 게임회사 아니더라도 인터넷 서비스나 온라인 서비스 등을 하고
있는 회사라면 어디든 해당되는 공통되는 사항입니다. 그리고 두번째는 게임 유저들을
위한 보안, 키보드 보안 솔루션을 설치해준다거나 OTP를 제공하는 등 역시 게임회사의
특징일 수도 있겠지만, 은행이나 포털 등도 같은 범주에 들어가기도 하는 내용입니다. 그리고
세번째는 게임만의 특징이겠죠. 서버와 클라이언트에 해킹 방지를 위한 시큐리티 코드를 넣는
작업을 말합니다. 정말 딱 부러지는 분류네요 :)

이런 분류를 통해 타 보안 영역과 겹치는 내용, 그리고 게임 쪽에 특화된 내용을 나누어서
다룸으로써 개념에 대한 항목을 명확하게 한 것 같아서 아주 좋았습니다. 나중에 누가
게임보안에 대해 물어보면 저걸 긁어주고 싶네요. 어쨌든 각 항목에 대한 기본적인 상식에서
부터 좀더 실제사례까지 들어가면서 필요한 보안 처리들이나 왜 해커들이 이쪽을 공격하는지
단계별로 서술, 그리고 대응해야 될 방법에 대해 설명이 이루어졌습니다. DOS등의 IDC 공격,
직원 PC 공격, OTP 사례나 BOT, 사설서버를 차단하는 대응노하우 등이 부가적인 내용으로
꾸며졌던 것 같습니다. 아주 크리티컬하고 상세한 기술 노하우 등이 공개되진 않았지만,
게임회사의 보안담당자들이 어떤 일을 어떻게 하고 있는지 그리고 게임 보안 업무에서
전반적으로 다루고 있는 것들을 종합적으로 잘 정리한 내용이었다고 생각됩니다.

저도 회사 업무로 사설서버 차단 기능을 계속 개발하고 있는 관계로, 개인적으로는 사설서버를
차단하는 방법이 발표내용 중에 가장 흥미를 끌었습니다만 역시 어느 회사나 사설서버 차단
알고리즘은 발표내용 시에 언급했던 대로 top secret 에 속하는 지라, 아주 획기적인 내용이
공개되진 않았지만(뭐 워낙 이쪽에 정석적인 대책이 없다보니) 그래도 기본적인 내용과 힌트,
혹은 뉴 아이디어 같은 내용이 다루어지면서 재미있는 발상과 새로운 몇가지를 얻어낼 수 있어
개인적으로는 아주 좋았습니다.


XP/S2K3/Vista/Win7 bugs help malware to survive
- Kris Kaspersky (McAfee)

Reverse Engineering 으로 유명한 Kris Kaspersky 의 malware 발표 입니다.
러시아 사람이고 지금은 맥아피에서 일하고 있으며, 수많은 보안서적을 집필했으나
영어로 번역된것은(=우리나라에 알려진 것은) 6종 정도 라고 하네요.
아마 아래 3권 정도는 웬만하신 분들은 다 한번쯤 들어보신 책일겁니다.
(나머지 3권은 저도 뭔지 모르겠네요 :p )

Hacker Debugging Uncovered
Hacker Disassembling Uncovered
Shellcoder's Programming Uncovered

주제는 각 플랫폼 버그가 악성코드를 활개치게 하는데 영향을 준다는 것이었지만
실제로 제가 체감하기에는 제목과는 느낌이 좀 달랐습니다. 크게 두 가지를 다루었다고 할까요.
첫번째는 CreateRemoteThread 로 DLL 없이 코드만 풀어넣은 스레드 넘들을 감지하는 방법
그리고 두번째는 Entry Point 를 속이는 기법입니다. 즉 TLS Callback 의 시뮬레이트라고나
할까요. 암튼 흥미로운 방법이었습니다.

그런데 통역이.....으 전 처음에 러시아어로 말하는 줄 알았는데 알고보니 이게 러시어가 아니고
러시아 발음이 지독하게 섞인 영어더라고요 -_- 그리고 카스퍼스키의 말하는 속도가 장난이
아니었습니다. 당연히 통역자는 전혀 따라가지 못했고요, 중간에 진행자가 5분 간격으로 두번이나
무대로 올라와서 귓속말로 "slow down...ㅜㅜ" 를 외쳤으나 한 1~2분 말이 느려졌을 뿐, 다시
다다다다다다~ 달리는 바람에 통역자가 한 20분 통역했나? (그 20분중 내용의 20%도 전달되지
못했음) 그 후부터는 통역자가 포기하는 바람에, 후반 40여분은 그냥 통역 없이 청중들은
얼빵한 표정으로 카스퍼스키의 기관포 연설을 멍하니 들을 수밖에 없었죠 :)

그리고 카스퍼스키의 발표가 2시간 예정이었는데, 당당히 1시간만 하고 끝낸 겁니다 ㅋ 진행자들은
캐당황했고요 얼른 무대로 올라가서 뭔가 샤바샤바 하더니 조금 더 하기로 했습니다 :p 근데
과정이 좀 웃겨요 그사람들의 귓속말 상황을 제가 당시 느낀 뉘앙스.

진행자 : "헉... 이렇게 일찍 끝내시면 어떡해요! 다른거라도 좀더 보여주세요"
카스퍼스키 : "별로 보여줄게 없는데여..."
진행자 : "그래도! 아직 1시간이나 남았어요!"
카스퍼스키 : "따로 또 준비한게 없어요."
진행자 : "아 그럼... 방금 했던거 통역이 제대로 안되서 그러니... 그거라도 한번 더 재탕
             해주세여...ㅠㅠ  통역은 이런식으로 합시다. 당신이 러시아어 섞인 영어로 말하면,
             그래도 그거라도 대충 알아들을 수 있는 Ryan Clarke (첫번째 발표자. 미국인)가 다시
             한번 깔끔한 영어로 말하고요 우리 한국인 여자 통역자가 그걸 다시 통역하는 방법으로"
카스퍼스키 : "뭐 그렇게 합시다"
진행자 "그럼 ㄱㄱㅆ"

그리고 진행자는 이렇게 말했습니다.
"아 통역이 말끔하지 못했으니 Ryan Clarke 가 통역을 도와주는 방법으로 30여분간 다시한번
중요한 부분만 짚어서 정리하도록 하겠습니다."

ㅎㅎ 그렇게 해서 20~30여분간 한번 더 재탕했죠... 재탕하면서 자료를 좀 보니 이제 뭔 내용인지
쵸큼 알겠더군요. 그런데 그 여자 통역분에게는 죄송한 소리지만 그냥 통역은 없어도 될듯...
실제로 발표자가 아무리 깔끔한 영어로 스피킹을 해도, 지금의 통역자 수준으로는 그걸 전혀
소화하지 못하는 것 같습니다. 예를 들면 이런 부분이 있었습니다.

카스퍼스키 : "지금 이 프로그램은 일단 콘솔로 만들었다. 하지만 뭐 필요하면 UI 로 만들수도 있다."

이런 내용은 발표의 알맹이와는 전혀 상관없이 그냥 발표자가 흘러가는 한마디로 한번씩 하는
말입니다. 하지만 통역자의 입장에선 뭔가 발표가의 말을 계속 전해야 되고, 다른 어려운 용어가
섞인 말은 대체 뭔지 모르겠고, 아 이번에 뭔가 들리는 단순한 내용이 나왔다. 그럼 이거라도
전달하자... 뭐 대략 이런 입장이기 때문에 들리는 그대로 통역합니다.
그래서 이런 문장이 되었습니다.

통역자 : "이 프로그램은 화면이 없습니다. 하지만 이미지가 있을 수도 있습니다."

직역이 아니고 그냥 순수하게 통역만을 하게 되는 것이죠. 그리고 중요한 문장은 넘어가고 저런
것들만 골라서 통역하게 되면, 듣는 사람이 관련 내용에 기반 지식이 없는 한 완전히 삼천포로
빠지는 얘기만 듣게 됩니다. 통역하시는 분들 힘드신건 알겠지만 교육 좀 받은 사람으로 썼으면
좋겠네요.

어쨌든 카스퍼스키의 발표는 좀 알아먹기 힘들었고요, 나중에 발표 자료를 보면서 대충 무슨
내용인지 쵸큼 눈치를 챌 정도였는데 입장시에 준 발표 데이터 CD 안에 카스퍼스키가 사용한 예제
코드와 뭐 그런것 까지 있었으면 좀더 쉽게 알 수 있었을텐데 그런 아쉬움이 남네요. 이번에
카스퍼스키가 한국에 온다고 해서 기대하시는 분들이 엄청 많았는데, 그래도 이런 기념비적인
발표이니 만큼, 대략 한번 제가 관련 자료를 한국어로 만들어서 기회가 되면 블로그에 올려
보겠습니다 (발표에 사용된 코드까지 한번 만들어 보겠습니다... 못하면 말구요 ㅋ )

마지막으로 여담이지만, 카스퍼스키도 사람이 좀 독특한, 재미있는 사람인 것 같습니다.
위트가 섞인 표현을 많이 쓰던데요 예를 들어보자면.

- Windows 는 항상 버그가 발생하는 OS 라는 얘기를 하면서
old joke : another day - another bug. some get fixed in a few weeks,
some live forever.

- 보이는 Entry point 가 전부가 아니라면서
darkness underneath the lamp-stand

- 악성코드가 EP 를 이런식으로 바꿔대는 짓을 해대면 안티바이러스 개발자는 이런걸 찾는
기능을 또 만들어야 하는 고통을 얘기하면서
AV developers are going to rewrite zillion lines of code...


그리고 Q/A 로는 이런 화면을 붙혔네요 ㅋ

겨우 두개의 후기만 썼는데 글이 엄청 길어졌네요 -_-;
제가 본게 이게 다라서 일단은 여기까지만 후기를 작성해보도록 하겠습니다 :)



window31. 2009년 4월

가상PC 감지
강병탁 / window31 (window31@empal.com / www.window31.com)

월간 마이크로소프트웨어 2009년 4월호
("Bypass AntiVirus" 2회 - 실시간 감시 취약점 中)


바이러스를 분석하기 위해 많은 보안 관계자들은 VMWare나 Virtual PC와 같은 가상 머신을 이용한다. 그런데 몇몇 멀웨어는 현재 자신이 실행된 환경이 가상 환경이라면 활동을 멈추고 즉시 자신을 파괴시킨다. 바이러스가 가상PC에서 로딩됐다는 것은 바이러스 분석가들이 악성코드 분석을 위해 실행했을 것이라고 판단하기 때문이다. 그리고 바이러스를 분석하는 입장에서도 바이너리를 리버스 엔지니어링 해 보기 전에 먼저 한 번 실행부터 시켜보는 것이 일반적이다. 때문에 이런 내부적인 상황을 모르고 가상PC에서 테스트하며 돌아가지 않는 바이러스가 발견된다면 분석을 중단하는 일도 발생한다. 이런 점을 노린 악성코드 제작자들의 의도는 상당히 지능적이라고 볼 수 있다. 따라서 안티바이러스 업무를 하는 사람은 가상PC가 아닌 전용 리얼 테스트 머신을 갖춰야 한다. 또한 악성코드가 가상PC를 어떻게 감지하는지에 대한 스캔 엔진도 별도로 장만하면 더욱 효율적이다. 예를 들어 <리스트 7>과 같은 코드가 있다. 이 코드는 현재 실행된 환경이 VMWare인지 감지한다.

<리스트 7> VMWare 감지 코드
bool IsVMWare() { bool rc = true; __try { __asm { push edx push ecx push ebx mov eax, 'VMXh' mov ebx, 0 mov ecx, 10 // any value but not MAGIC VALUE mov edx, 'VX' // port number in eax, dx // read port. on return EAX returns the VERSION cmp ebx, 'VMXh' // is it a reply from VMWare setz [rc] // set return value pop ebx pop ecx pop edx } } __except(EXCEPTION_EXECUTE_HANDLER) { rc = false; } return rc; }

인터넷의 해외 사이트를 잘 조사하다보면 많은 자료가 있으니 참고하면 좋을 것이다. 해커나 공격자도 우리와 같은 검색 능력을 가진 사람이라 결국 인터넷을 뒤져서 이와 같은 가상PC 감지 코드를 추가해 공격한다. 따라서 이런 유형의 코드를 검색하는 미니 스캔 툴을 개발, 가상PC에서 동작하지 않는 바이러스를 발견했을 때 그 파일에 대해 실행시켜 해당 바이러스가 가상 머신을 감지하는지 아닌지를 확인할 수 있다(패턴이 완전히 일치하지 않을 가능성이 있기에 100% 장담은 못하지만 확실히 도움은 된다). 더 나아가 해당 루틴을 찾아내면 그것을 걷어낸 후 가상PC에서 자유롭게 분석할 수도 있다. 또는 실시간 감시 기능을 무력화시키는 바이러스의 경우는 이런 행위를 할 가능성이 더욱 농후하다. 가상PC에서 바이러스 샘플을 실행한 후 돌아가지 않는 바이러스라고 쉽게 단언하지 않는 내공깊은 분석가가 더 많아졌으면 하는 바람이다.

자동사냥, 매크로 프로그램을 근절시키기 위한 캠페인을 하네요.
오토를 베포하거나 판매하는 사이트가 있으면 아래 url 로 신고해주세요.
이런 정책적인 움직임들, 개인적으로 아주 좋은 모습이라 생각합니다.

아무런 정책 없이 오토 프로그램을 그냥 보안 프로그램으로만 막는 것은
무단횡단을 하는 사람들에게 무단횡단시 벌금을 먹이는 방법은 전혀 사용하지 않고
그냥 무단횡단을 못하게 벽만 자꾸 높히는 행위나 다를 바 없으니까요.

정정당당 오토 클린업
http://www.autoclean.or.kr/