Blog Posts

ARM 크로스 컴파일 환경 초간단 구축

우분투 14.04 버전에서 ARM 크로스 컴파일 환경을 간단하게 구축하는 방법이다. 7줄의 apt-get 명령어만 날리면 끝~ [crayon-5bce23671c365505995092/]   테스트 [crayon-5bce23671c375147534940/]   결과는 굿, 초간단, 성공적~! [crayon-5bce23671c37e101131962/]   ARM 버전까지 공부할라니 머리가 아프구먼 ㅠㅠ  

GEF – GDB Enhanced Features 소개

  리눅스 환경에서 순수(?) 버전의 gdb 사용은 상당한 인내를 필요로 한다. 가장 기본적인 디버거답게 여러가지 기능들을 갖추고 있지만, “보기 좋은 것까지 나한테 바라지 마라…”고 말하는 듯한 느낌이 들 때가 있다. 개인적으로 가장 gdb의 가장 불편한 점을 하나 꼽으라면 스택 정보를 볼 때, 매번 명령어를 입력해야 한다는 것이다. (물론 익숙해지면 그러려니 하고 쓰게 되지만… ㅠㅠ) 이런 단점을 해결하기 위한 사막의 오아시스 같은 툴이 등장했는데 바로 예전에 소개한 바 있는 PEDA 이다. 이전 자료 링크 :  Linux Exploit을 손쉽게 – peda 디버거 활용 [이 좋은 걸 만들어 준 Long(?) 씨에게 다시 한번 감사를] 그러나 PEDA는 Intel CPU 기반의 32/64비트 환경만 지원하기 때문에 ARM, SPARC 등의 시스템에서는 사용이 불가하다. 이번에 소개할 GEF – GDB Enhanced Features는 이러한 문제점을 단번에 해결해 줄 수 있다. ARM, PowerPC, SPARC 등의 시스템을 모조리 지원하는 GDB 확장 도구 GEF를 만나보자.   1. 설치 – Installation 설치 과정은 PEDA와 마찬가지로 매우 간단하다.  다음 3줄이면 설치 후 바로 사용이 가능하다. [crayon-5bce23671d6a3231167125/] 위 기본 사항만으로도 대부분의 기능을 사용할 수 있지만, ROP공격이나, 디스어셈블 기능을 강화하기 위해 다음 두가지 모듈을 추가로 설치할 것을 권장한다.   1) Capstone Disassembly 프레임워크로써, 다양한 아키텍쳐 환경을 지원한다. github (https://github.com/aquynh/capstone)를 통해 다운로드 받거나, pip 를 통해 바로 설치가 가능하다. [crayon-5bce23671d6b0992822310/]   2) ROPGadget ROP 공격시 코드 내에서 ROP 조각들을

Continue Reading

CapTipper V.0.2 릴리즈 (새로운 기능 소개)

  예전에 블로그를 통해 소개했던 악성트래픽 분석 도구 CapTipper가 0.2 버전으로 업그레이드 되었다. 이전 소개 내용 링크  ☞☞☞☞   CapTipper 소개 및 사용 방법 0.1 버전에서 아쉬웠던 점들을 상당히 많이 보완한 것으로 보인다. 개선된 기능들은 간략하게 알아보도록 하자. * 프로그램 다운로드 링크 : https://github.com/omriher/CapTipper/archive/master.zip   1. HTML & JSON 결과 레포트 생성 기존에는 CLI 환경에서 일일이 트래픽을 분석해야 했었지만 이번 0.2 버전에서는 HTML 또는 JSON 방식의 레포트를 제공한다. 실제 15.3.24일 Malware Traffic Analysis 에 등록된 pcap 파일을 Captipper로 레포팅한 결과 다음과 같이 아주 깔끔하게 내용을 출력해주었다. Flow View 를 통해 접속 경로 및 흐름을 한 눈에 파악할 수 있을 뿐만 아니라 각각의 Request/Response에 대한 상세 내용도 파악할 수 있다. (파일 헤더 정보 등) Captipper가 파이썬 기반으로 제작되었기 때문에 레포트 기능을 잘만 활용한다면, 자동화 된 분석 모듈로도 활용할 수 있을 것 같다. * 사용법 : python captipper.py [파일명.pcap] –report [Output Directory]   2. 파일 타입 확인 가능 서버에서 수신한 파일의 헤더 매직넘버를 이용하여 파일 타입(File Type) 정보를 확인할 수 있다. 예를 들어 다음 그림과 같이 파일 확장자는 “.swf” 이지만 실제 매직 넘버 확인 결과 XAP (Silverlight Application Package)인 것으로 확인된다. 즉, 정상 파일로 위장한 악성 파일 여부를 체크할 수 있다. 다만 아쉬운 것은 의심 되는 (확장자와 매직 넘보 정보가 다른) 오브젝트를 별도로 표시

Continue Reading

Site Footer

Sliding Sidebar

About Me

About Me

June Park