반응형 Security/Reversing7 [AntiVM 탐지 우회] 1.레지스트리 값 수정 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000 레지스틔 내부 vm관련된것들을 지워준다.(키값은 지우면 안됨) 2.VM에서 vmx파일을 열어 다음 내용을 추가한다.monitor_control.restrict_backdoor = "TRUE" isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" isolation.tools.setVersion.disable = "TR.. 2017. 3. 27. ※함수호출규약 ●정의 함수 호출시 인자를 전달하는 방식과 스택프레임을 반환하는 방식을 약속해 놓은것이라고 한다. 호출규약은 x86/x64 서로 다른 규약을 사용합니다. x86은 __cdecl,__stdcall,__fastlcall,__thiscall 총 4개의 호출규약으로 구분되며 x64에서는 __fastcall을 사용하며 운영체제별 구분됩니다. 오늘은 위 호출규약별 특징을 정리하겠습니다. ●x86 __cdecl -함수의 종료이후 스택을 Caller가 정리한다.(함수의 내부에서 정리하는것이 아닌 함수외부에서 스택을 정리한다.) -호출규약을 입력하지 않으면 기본 cdecl을 사용한다. __stdcall -함수의 내부에서 스택을 정리한다. __fastcall,__thiscall -함수의 내부에서 스택을 정리한다. -fas.. 2017. 3. 15. [Win32 API] PAGE_GUARD예외 처리특성을 통한 안티디버깅 이 안티 디버깅을 알기 위해서는 다음 Windows의 예외처리 특징에 대해 알아야한다. ※Windows가 프로세스에 대한 예외를 처리할 경우 2가지로 나뉘며 특징은 다음과 같다.1.일반적인 실행의 경우 : 예외처리를 프로세스에 맡긴다.(프로그래머 정의 : try-except문)2.디버거에서 실행될 경우 : 예외처리를 디버거에게 맡긴다. 이 경우 프로그래머가 정의한 예외처리문은 거치지 않는다. 두차이를 이용하여 악성코드는 의도된 예외를 발생시키는데 예외에 사용되는 용도로 PAGE_GUARD를 사용한다.PAGE_GUARD는 메모리 보안속성인데 PAGE_GUARD가 설정된 메모리에 접근할경우 예외가 발생한다.Win32 API인 VirtualProtect의 3번째 parameter를 사용하여 메모리의 보안속성을.. 2016. 11. 17. 이전 1 2 다음 반응형
