Broken Code (window31) ::

KOSR 드라이버 세미나

2009/11/25 20:40

KOSR 드라이버 세미나

KOSR 에서 31차 정기세미나를 진행합니다.

이번에는 WDF 를 번역하신 최장욱님께서 진행하시네요.
(최근에는 Windows Internals 5th 도 번역하고 있군요 ;;; )

http://www.kosr.org/Contents/Lecture/SeminarContent.aspx?ser_no=33&page=1&mode=1&cls_cj=1&cls_cd=5&searchType=&searchKey=

아무래도 강사님께서 키보드 보안 드라이버 개발 경력이 깊기 때문에
그냥 키로거도 아닌 커널 키로거에 대한 이야기가 나올 것 같네요 :)

개인적인 생각이지만 애플리케이션 키로거는 그간 악성코드 분석자료나
기타 보안 세미나에서는 많이 등장했지만,

커널 키로거에 대한 분석내용을
세미나에서 볼 수 있는 모습은 극히 진귀한 광경이 아닐까 합니다 :)

물론 그 밖의 Windows 7 드라이버 개발이나, 기타 여러가지 TIP 등을 알 수 있겠네요-

이 분 최근에는 ㈜볼트마이크로(http://www.vaultmicro.com/) 라는
드라이버 개발 전문 회사를 차리셨습니다. 애도 있으면서 이런 도전적인 모습을 보여주다니 ㅎ!!
암튼 화이팅이고요, 간만에 잼잇는 세미나가 또 될 것 같습니다 :)

Posted by window31

트랙백 0 : 댓글 3

트랙백 보낼 주소 : http://window31.com/trackback/336

댓글을 달아주세요

HS

2009/11/28 19:10

이야... 회사까지 차리셨을줄이야;;
살짝~ 놀랐네용ㅋ

iwillhackyou

2009/12/01 17:23

입사하셔서 같이 농구하던게 얼마 안된것 같은데..

회사 차리셨구나..-_-; 좋은 정보 감사합니다.

RED_BIT

2009/12/04 22:53

안녕하세요 ^^;;
커널디바이스 개발을 해보고싶은 학생입니다.
커널디바이스에 입문하려는 사람, 커널에 대해 관심을 가진 학생이 읽으면 좋은 책이 있다면... 추천해주실수 있나요..?ㅠ

: 이름 (name)

: 비밀번호 (password)

: 홈페이지 (homepage)

비밀글

제13회 해킹방지워크샵 2009

| 보안 이야기

2009/11/15 23:06

제13회 해킹방지워크샵 2009

13회 해킹방지워크샵, CONCERT 2009 때 발표를 하게 되었습니다.
주제는 "게임 개발사와 퍼블리셔를 위한 온라인 게임 보안 활성화 방법" 입니다.
아래 웹페이지에 나온 주제는 그냥 "온라인 게임보안 활성화 방법" 으로 표시되었네요.
제목이 확정되기 전에 페이지가 만들어졌는데,, 뭐 나중에 바꾸기도 뭣해서 그냥 뒀습니다.

http://concert.or.kr/suf2009/program/program.php

기존에 게임보안 세미나 하면 특정 제품 홍보나 아니면 호랑이가 담배먹던 시절의 기술에 대해서만
논하는 경우가 많았기에 그런 쪽과는 좀 다르게 내용을 꾸며보려고 했고요 (아무래도 게임보안
솔루션 개발사들은 기술 공개나 노하우, 경험 공개에 대해서 배타적인 회사도 있죠) 솔루션에
의지하는 것 보다는 게임 회사 입장에서 생각하는 게임보안에 대해서 하나씩 준비를 해봤습니다
(잘 아시겠지만, 여기서 말하는 게임보안은, 계정 해킹이나 침해사고 대응, 시스템 보안의 얘기가
아닙니다)

아래 부분은 목차입니다. 발표 자료는 아마 CONCERT 를 통해서 배포될 것 같습니다

1. 현재의 게임 해킹 대응 플랫폼의 문제점
2. 최근 게임 해킹툴 동향
3. 자체 로직보완
4. 자동사냥/매크로 대응
5. 오픈전 내부 보안검수
6. 게임 클라이언트 패킹 이슈
7. 게임보안 솔루션 선택시 생각해야 할 점
8. 해킹툴 차단 컨셉 변경
9. 법무팀과의 협업
A. 해킹툴 제작 사이트 모니터링
B. 마무리

등록비가 좀 비싸서, 회원사 아닌 분들에게는 와달라고 말씀을 드리지는 못하겠네요 ;;;
그럼 혹시 오시는 분들 콘서트 때 뵙겠습니다 (아는척 한번만 해주세요 :) )

window31.

Posted by window31

트랙백 0 : 댓글 23

트랙백 보낼 주소 : http://window31.com/trackback/334

댓글을 달아주세요

꿀딴지

2009/11/16 08:42

오호 내가 1빠네 낼 모레 보자!
- window31
  
  2009/11/17 22:23
  
  ㅎㅎ오늘 오셨다고 들었는데.. 전 못갔네요 : )

FSFDNEWBIE

2009/11/16 09:33

이번 세미나 발표자시군요~ ^^ 시간이 되면 실전 경험의 노하우를 한수 듣고 싶은데 잘 될런지 모르겠네요 ^^

아참..전 토요일에 뵜던 사람입니다 ㅎㅎ; 좋은 결과 있으시길..
- window31
  
  2009/11/17 22:24
  
  아하! 네 반가웠습니다 말 걸어주셔서 감사합니다 : )

HS

2009/11/16 09:38

평일의 압박 및.. 17일의 압박..;; 아쉽네용..ㅋ
준비잘하시길~~^^
- window31
  
  2009/11/17 22:24
  
  팀장꼬셔봐 ㅋㅋ

2009/11/16 10:30

비밀댓글 입니다
- window31
  
  2009/11/17 22:24
  
  도움 감사했습니다 !

jupit4r

2009/11/16 11:52

준비 잘 하시길 바랄게요..^^ 좋은 내용 기대하겠습니다.
- window31
  
  2009/11/17 22:24
  
  네~ 감사합니다 : )

태검

2009/11/16 18:15

갑니다 ~~ ^^
- window31
  
  2009/11/17 22:24
  
  옷 태검님 안녕하세요 ^^

iwillhackyou

2009/11/17 20:29

기대되네요. 7번이 궁금합니다 ^^;

그리고 직전 발표하는 터보테크의 패커?도 궁금해지네요 ^^;
- window31
  
  2009/11/17 22:26
  
  아. iwillhackyou님께서 이런말씀 하시면 우선순위 낮았던 7번을 좀더 신경쓸수밖에 없겠네요 ㅠ ㅠ ㅎㅎ
  최원혁 차장님과는 전에 디버그랩 발표때도 제 앞에 하셨는데
  우연히 이번에도 같이 발표를 하게 되었네요 ㅎㅎ 꼭 가서 들을 예정입니다.
- 최원혁
  
  2009/11/23 17:32
  
  제 발표 들으셨다니.. 실망 많이 하셨겠네요. ^^

seyool

2009/11/18 16:53

발표 잘 들었습니다.
너무나 유익했습니다.
오늘도 많이 배우고 가네요.
감사합니다 (_._)
- window31
  
  2009/11/25 20:41
  
  항상 발표 보러와주시고 좋은 말씀에,
  너무도 감사할 따름입니다 (__)

ng

2009/11/18 22:16

아.. 정말 못가서 정말 안타까웠습니다. 예전같았으면 꼭 참석했을텐데. 그래도 잘 하셨겠죠? ^^
- window31
  
  2009/11/25 20:41
  
  네.. 시간이 너무 모잘라서 ;;;ㅎㅎ

edge

2009/11/19 09:13

안녕하세요.
발표 잘 들었습니다.
얼굴은 첨 뵜던거 같네요^^;

좋은 정보 유익한 정보 많이 배웠습니다~
감사합니다~
- window31
  
  2009/11/25 20:42
  
  보안회사에 계시는군요~
  좋은 말씀 감사합니다 !

uptx

2009/11/22 12:47

탁형! 멋졌음!!! -_-)=b
- window31
  
  2009/11/25 20:42
  
  ㅋㅋ ㄳ

: 이름 (name)

: 비밀번호 (password)

: 홈페이지 (homepage)

비밀글

Win32.Trojan.Pasta. 오진

| 보안 이야기

2009/11/13 20:49

Win32.Trojan.Pasta. 오진

어제오늘 Win32.Trojan.Pasta 오진 때문에 아주 홍역을 치뤘습니다.
우리 모듈과 구조가 비슷한 악성코드를 최근에 백신이 수집했고
그 패턴을 xx 같이 했나보군요 -_-;

모두 똑같은 파일입니다.

F-Secure 오진

Kaspersky 오진

AntiVir 오진

Kisv9Plus 오진

(Avast 는 화면캡쳐 생략)

오진 발생 리포트 시간을 보면, 시간차가 좀 있던데
해당 백신이 샘플을 언제 수집했고, 그 샘플을 언제 패턴업데이트 했느냐의 차이인 것 같습니다.
아무래도 Kaspersky 와 F-Secure 가 가장 빠르네요 (유저의 분포도 차이 일수도?)

Kaspersky 와 F-Secure 가 오진을 내고, 오진을 해결해주고 한 후에야
Avast, AntiVir, Kisv9Plus 등에서 그제서야 오진을 내기 시작하네요
샘플 수집 + 대응속도 의 뭐 종합 평가가 된 듯 싶습니다.

암튼 머 그건 그건데,,,, 백신들 진짜....-_- 스트레스를 부르네요.
게임보안 솔루션은 오진을 내면 고객들이 항의라도 하지, 백신은 오진내면 뭐 그냥 별 기색도 없이
"다음 패치때 풀어줄께" 또는 대답도 없는 시츄에이션을 보면, 어떻게 하라는 걸까요?

(오진을 해결해 달라고 연락을 했더니, 당신네는 우리 회사의 백신을 정식으로 구매한 고객이
아니기 때문에 오진 처리 요청을 우리 직원을 통해서 하지 말아달라는 얘기를 하는 회사도
있었습니다. 뭐 공개적인 자리라서 어느 백신사인지 얘기는 못 하겠네요 -_-)

window31.

Posted by window31

트랙백 0 : 댓글 8

트랙백 보낼 주소 : http://window31.com/trackback/333

댓글을 달아주세요

viruslab

2009/11/14 10:17

F-Secure 는 Kaspersky 패턴을 차용해서 쓰고 있고, 진단명도 같은 것으로 보아 Kaspersky 쪽 오진 때문인듯 싶습니다.
- window31
  
  2009/11/15 23:08
  
  아하 그렇군요~ !

matt

2009/11/15 03:05

ㅋㅋ 백신사들의 게으름은 사실 악명 높죠
저희 제품도 패킹 때문에 종종 백신에 잡히는데 해결에 반년은 걸린다는
한번은 우리가 오이엠하는 엔진이 우리 제품을 잡기도 하더군요
- window31
  
  2009/11/15 23:11
  
  반년이라 너무 심한데요 -_-;;;
  제가 겪어본 백신 중에서는 맥x피와 PxTOOLS 가 가장 늦는 것 같네요.
  할 수만 있다면 Anti-AntiVirus code 를 만들어서 먼저 배포하고 싶어요...

HS

2009/11/15 21:14

;;;... 이리저리 공감가는 내용이네요..;;;
- window31
  
  2009/11/15 23:11
  
  ㄱㄹㅈ

쿨캣7

2010/01/30 10:51

흠.. 국내 업체는 이런건 빨리 빼주는데 말이죠. 작년에 게임 업체에서 신고센터로는 빨리 처리되지 않아 백신업체 직원 연락처 알려달라고해서 좀 정리했었는데... 답변을 보니... 그게 서양식 사고가 아닐까 싶네요.
- window31
  
  2010/02/15 17:38
  
  국내는 확실히 빨리 빼줍니다.
  그리고 잘 아시겠지만 국내는 패커라고 무조건 진단하지는 않습니다.
  해외 백신들이 문제예요 -_-;

: 이름 (name)

: 비밀번호 (password)

: 홈페이지 (homepage)

비밀글

버퍼 오버플로우 검사

| C, C++

2009/11/08 22:15

버퍼 오버플로우 검사

에효... 얼마전에 초난감 삽질로 반나절을 날렸습니다.
계속 변수들이 값이 바뀌고 애매한 위치에서 익셉션이 나고 난리길래
오만 삽질 디버깅 끝에 아래 코드가 문제라는 것을 알았습니다...;

4개짜리 배열 변수에다가 루프를 8번 돌아서 값을 입력하려고 했으니 -_-;
에혀... 봐도 너무 한심하네요...

저희쪽 코드가 워낙 하드코딩을 일삼는 짓이 많다보니... 뭐 copy & paste 의 폐해이자 동시에,
일차적인 원인도 저런 코드를 만든 저 자신에게 있지만 그래도 이런건 컴파일러에서 좀 잡아줫으면
좋겠구만... 하는 생각이 막 앞서네요 (반나절을 날린 댓가를 누군가에게 보상받고 싶은 마음일지도)

제가 아직 6.0 컴파일러를 사용해서 노망난 컴파일러에게 저런 것 까지 기대하는 것은
무리인 것일까 하는 마음에 2003 으로 한번 테스트를 해봤습니다.
VS 2003 이상에서는 아시다 시피 저런 옵션이 있죠.

그리고 빌드를 해봤습니다......결과는 !!!!!

뭐.... 마찬가지네요...
저한테 VS 2008 은 없어서, 옆에 앉은 넘에게 한번 시켜봤는데
VS 2008 역시 역시 결과는 마찬가지 였습니다.

컴파일러가 체크해 주는 BOF 의 기준은 어디까지일까 하는 생각을 갖게 하네요.
파고들어 보고 싶지만 아으 이걸로 (이렇게 멍청하게도)시간을 날려보니까 웬지 더이상
건드리기 싫다는 생각도 듭니다 :p

혹시 알고 계신 분은 공유해 주세요 ~

window31.

Posted by window31

트랙백 0 : 댓글 8

트랙백 보낼 주소 : http://window31.com/trackback/325

댓글을 달아주세요

ParkPD

2009/11/08 23:28

Visual Studio 2005의 Code Analysis 기능
http://eslife.tistory.com/entry/Visual-Studio-2005%EC%9D%98-Code-Analysis-%EA%B8%B0%EB%8A%A5
를 써 보면 어떨까요?
저희는 CI 툴에 연동해서 쓰고 있는데, 도움 많이 받고 있습니다.
- window31
  
  2009/11/13 20:19
  
  아 2005는 이런 좋은게 있었군요...
  2003에는 없네요 ㅠ ㅠ 좋은정보 감사합니다 !

김민장

2009/11/09 04:33

먼저 저 컴파일러 옵션에 있는 /GS는 static analysis, 즉 컴파일할 때 버퍼 오버런을 알려주는 기능이 아닙니다. /GS는 런타임시에 스택 오버플로우가 감지되면(힙 오버플로우는 아니고요) assertion을 띄어주는 것입니다. 아마 이 옵션을 켜고 실제로 실행하면 assertion이 걸릴 것 같은데요. 감지하는 방식은 아마 canary value를 써서 하는 것일 겁니다.

원하시는 것은 위에 박피디 말씀처럼 static analysis로도 알 수 있습니다.
http://msdn.microsoft.com/en-us/library/ms182025.aspx

올려 놓으신 경우는 정적 분석으로는 아주 간단하게 잡을 수 있는 경우입니다. 포인터도 없고 루프 바운드도 상수이고 하니 아주 간단하죠. 학부생들에게 숙제로 내도 될 정도로 쉽습니다 ㅎㅎ

(웬만하시면 그냥 영문 VC++을 쓰실 것을 강력히 권장합니다. 그래야 해당 컴파일러 옵션이나 에러 코드를 보고 쉽게 구글링할 수 있습니다. 버퍼 보안 검사... 구조체 멤버 맞춤... 작은 형식 검사??)
- window31
  
  2009/11/13 20:16
  
  보안모듈은 더러운 상황이 많아서 상위 컴파일러로 함부로 포팅할 수 없는 난관이 많습니다.
  그래서 아직 울며 겨자먹기로 6.0 을 사용하고 있고요, 2003은 sln로 된 프로젝트 줏어와서
  빌드하는 용으로만 사용하기 때문에 별로 영문 컴파일러에 대한 필요성을 못느낍니다. 그냥
  가끔 그러시는 분들은 계십니다 "쪼팔리게 한글판 쓰냐?" 별로 개의치 않습니다 ㅎㅎ
  물론 6.0 은 영문판 아니면 메뉴 선택조차 제대로 못 하겠지만요 ㅎㅎ (근데 6.0도 한글판이 있나요?)

kuaaan

2009/11/09 09:43

저 기능은... 지정한 버퍼 뒤에 추가로 버퍼를 할당해놓고 특정 값을 memset해놓았다가, 실행후 그 "특정 값"이 변경되었는지 검사하여 버퍼오버플로우를 체크하는 기능이라고 알고 있습니다. 말하자면... 런타임에 체크해주는 기능이란 얘기죠. 김민장님께서 잘 설명해주셨네요. ^^
- window31
  
  2009/11/13 20:17
  
  아하 그렇군요~
  이름 때문에 헷갈렸어요-_-; 설명 감사합니다~! 하나 배웟네요 : )