반응형

우연찮게 찾게된 Key Log List 차후에 테스트할 때 사용하면 좋을 예제 파일들^^

[출처 : http://sorcerybox.wordpress.com/2011/06/19/keylogger-hacking-software/]

 

Do you know what is keylogger? If you don’t know I will explain the features of this amazing software.

  • Keylogger is a device or program that captures activities from an input device. Malicious people can make use of keyloggers to capture personal information being input into a computer system.

Didn’t understand? OK give me a break.
Suppose you are jealous of your friend because he has lot of friends in Facebook, yahoo or etc  and you have decided to hack his password so what you gonna do? Very simple install this keylogger and go through his accounts.

How does the keylogger works?
Keylogger is a  software that runs inconspicuously in the background, automatically recording every user keystroke, including special and function keys. It records the name and duration of every website visited, the exact keystrokes made, encrypts and enters the information in a log file, which cannot be seen by anyone except the installer of this program.
So it mean it saves all the stroked or pressed keys like typing username and password, chatting with friends, visiting sites, surfing internet etc.

Usage of the keylogger:

Systems and business administrators who are biting their nails, worried about leakage of vital confidential information by an employee, parents who are anxious about their children’s safety on the internet, and internet café owners, who are responsible for regulating ‘clean’ browsing by their customers – all these people need an instrument to know for certain, the web browsing activities of their employee, child, or customer respectively. Only then they would be in a position to take suitable legal, disciplinary or remedial action. This is where  Keylogger comes in.

If you want to download this software click here: Keylogger

Dont worry click on the below link its safe.

Keylogger features: (from keyloggers website)

  • Logs all keystrokes, is case sensitive.

  • When viewing the keystrokes can show only the characters without showing the pressed system keys which is more convenient. For example, if the following keys are pressed:

    “[Shift]It[Space]is[Space]free[Space]keylogger.”

    You can see the text

    “It is free keylogger.”

    having checked the “Show only characters” option.

  • Log search with or without the case sensitive option.

  • All the information is stored in the encrypted log file.

  • Generates the report in the text and html format.

  • Works in the standard and hidden mode.

  • In the hidden mode it is invisible in all operating systems (in Windows NT/2000/XP processes as well).

  • Provides the opportunity to protect keylogger with the password, so that nobody except you could view the logs.

  • Is not detected by antivirus software.

Top Free Keyloggers:

Actual Keylogger (Actual Spy):

Program File name Size Download link
Actual Keylogger actualspy.exe 1.49 MB Download free key logger

Desktop Shark Keylogger:

Program File name Size Download link
Desktop Shark Keylogger
 setup.exe 1.93 MB Download free key logger

Quick Keylogger:

Program File name Size Download link
Quick Keylogger
 qk_setup.exe 855.2 KB Download free key logger

Elite  Keylogger 4:

Program File name Size Download link
Elite Keylogger
 ek_setup.exe 7.18 MB Download free key logger

Family Keylogger:

Program File name Size Download link
Family Keylogger
 sp-fkl-setup.exe 205.8 KB Download free key logger

KidLogger PRO v.5.6.4:

Program File name Size Download link
Kid Logger
 kidlogger_pro.exe 1.06 MB Download free key logger

Home Keylogger Free Edition:

Program File name Size Download link
Home Keylogger
 keylogger.zip 159.5 KB Download free key logger

Was that useful?

Please leave a comment.

반응형
저작자표시

'Reverse > SystemDoc' 카테고리의 다른 글

[강의자료] 컴퓨터 보안 창과 방패  (0) 2018.01.25
[HowTo] Windows Testing Mode  (0) 2014.02.04
Windows Veriosn Check  (0) 2014.02.03
Windows7 64bit Paros 설치  (1) 2012.01.31
Windows 7 Driver Test 방법  (0) 2012.01.18
반응형

요즘 들어, 제 PC에서 자꾸 Load ollydbg/immunity debug를 이용해서 분석하는데,

Single Step Excetpion으로 분석을 못하는 상황이 발생하더군요.

 

그래서 확인 해보니, Single Step Exception 의 경우 자체적으로 excetpion handle을 생성하여

처리할 경우 발생하는 exception 인데....debugger 측에서 처리하는데 다소 문제(?)가 발생 한 것 같습니다.

(혹시, 자세한 내용을 아신다면 댓글로...^^)

 

그래서 임시 방편으로 분석하는 방법을 적어 봅니다.

먼저, Load 하였는데 아래와 같이 ntdll.ZwRaiseException 에서 멈춘다.

 

 

 

그럼 자체적인 Exception Handle이 있다고 생각하시면 좋을 듯 싶습니다.

그럼 어떻게 처리하느냐....

Option -> Events -> Break on new module (DLL) 을 체크 하시면 EP 지점에서 분석을 시작 할 수 있습니다.

 

 

 

그럼 이만....

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

남들이 다한 320 샘플 분석...  (0) 2013.03.26
[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
[WinDbg 따라하기 - 0x003] crash dump file 생성하기  (0) 2012.01.06
[WinDbg 따라하기 - 0x002] minidump 분석하기.  (0) 2012.01.05
반응형

PE 분석

 

0x01. PE View

 

0x02. PE Explorer

 

 

Hex Differ

 

0x01. HxD

 

0x02. 010 Editor

반응형
저작자표시

'Reverse > PE 관련' 카테고리의 다른 글

Code Sign 분석하기.  (0) 2012.05.31
반응형

0x00. 서론

타사의 Code Sign 된 인증서를 적용하는데 있어서, 문제가 될 수 있다는 이슈가 발생되어 해당 이슈를 분석한 내용을 정리하였다.

 

0x01. 본론

0x01-1. Code Sign 이란?

Code Sign은 실행파일의 신뢰성을 보증하기 위하여, 인증기관에서 인증한 인증서를 기반으로 파일의 무결성을 유지하는 하나의 보증 기능이다. 이 인증서는 공인인증서와 같은 구조로 되어 있어 서명된 파일에 대한 정보를 CA 기관에 요청하여 안전한 업체인지를 판단 하는 기준이 된다.

 

0x01-2. Code Sign 은 어디에?

Code Sign은 PE 구조체의 IMAGE_NT_HEADERS -> IMAGE_OPTIONAL_HEADER의 내용을 참조한다.

Code Sign에 사용되는 변수 및 구조체는 아래와 같다.

   - CheckSum

   - CERTIFICATE Table

 

 

 

 

0x01-3. 타사의 제품 악용하기

 

 

 

서명되지 않은 상태의 프로그램에 타사의 인증서를 적용하는 방법은 Hex Editor를 이용하여, 해당 구조체 내역에 주소와 사이즈를 강제로 넣으면 된다.

 

 

 

 

이와 같이 HexEditor로 만 수정해서 적용이 가능하다.

 

0x01-4. 검사 방법은?

  1. 위에서 보는 것과 같이 자세히 버튼을 통하여 보게 되면 해당 인증서로 정상적으로 인증한 파일인지가 확인이 가능하다.

  2. 다음 함수를 통하여, 확인이 가능하다.

     - WinVerifyTrust(HWND hWnd, GUID *pgActionID, LPVOID pWVTData)

     http://msdn.microsoft.com/en-us/library/windows/desktop/aa388208(v=vs.85).aspx

     단, 해당 함수는 인터넷이 연결된 상태에서 사용해야지 검증이 가능하며 검증 과정은 1분 정도 소요 된다.

 

0x02. 결론

  파일에 대한 인증서를 추출하는건 어렵지 않다. 하지만 해당 파일에 추출된 인증서를 사용하는데 있어서는 제약이 있으므로 어느 정도(?) 안전하다고 볼 수 있다.

  그러나, 인증서가 추출이 가능하다는 것은 공격할 수 있는 포인트가 생성되는 것이므로 해당 이슈에 대한 지속적인 방어적 내용 및 대응책을 모색해 볼 필요가 있다.

 

 

※ 참고 사이트

WinVerifyTrust function

http://msdn.microsoft.com/en-us/library/windows/desktop/aa388208(v=vs.85).aspx

 

CertFindCTLINStore function

http://msdn.microsoft.com/en-us/library/windows/desktop/aa376067(v=vs.85).aspx

Example C Program: Verifying the Signature of a PE File

http://msdn.microsoft.com/en-us/library/windows/desktop/aa382384(v=vs.85).aspx

Verifying a CTL

http://msdn.microsoft.com/en-us/library/windows/desktop/aa388188(v=vs.85).aspx

 

SigCheck v.1.71

http://technet.microsoft.com/en-us/sysinternals/bb897441

 

반응형
저작자표시

'Reverse > PE 관련' 카테고리의 다른 글

PE 분석에 활용하는 툴 소개  (0) 2012.05.31
반응형

오랜만에 글을 쓰네요.

이번에 경험한 부분에 대하여 관련 내용을 공유하려고 합니다.

 

발생한 상황 .

 - Dump 파일이 생성되지 않는 프로그램

 

[Windbg 따라하기 - 0x003 crash dump file] 생성하기 에서 보셨던 상황과는 다소 차이가 있습니다.

process list에서 볼 수 있는 환경에서는 0x003번과 같이 적용하시면 원하시는 파일을 dump 할 수 있지만

실행 하자마자 죽어버리는 상황이라면 좀 틀려 집니다.

 

필요한 준비물

  - adplus, windbg

  (※ 해당 파일은 VisualStdio를 설치 하시면 설치 됩니다. 만약 설치 안되었다면 [여기] 에서 다운 받으시기 바랍니다.)

 

그럼 준비되었으니 본격적으로 사용하도록 하겠습니다.

먼저, adplus의 역할이 무엇인지 알아야겠죠? 상세 설명은 [이곳]으로 가시기 바랍니다.

간단하게 설명하면 debugging 을 통하여 해당 프로그램에 접근 및 dump 파일을 생성할 수 있게 도와주는 프로그램 입니다.

 

따라서, 해당 프로그램의 attach 및 debugging 모드를 막아놓았다면 adplus를 사용할 수 없게 됩니다. 이점 유의 하시길 바랍니다. (만약 사용하고 싶다면 anti-debug 쪽을 제거 하신 후에 사용하시면 될 것으로 생각되네요..ㅎㅎ)

 

그럼 adplus의 옵션 중 모니터링을 하고 있다가 crash가 발생하면 debugger를 띄어주는 옵션을 인자로 넣어주고

프로그램을 실행 한다. 해당 명령어는 아래와 같다.

 

 

 

   - crash : crash 발생하면 attach 하는 옵션 (hang 옵션도 존재)

   - pmn : 프로세스가 생성될 때 까지 대기 상태로 있다가 생성되면 attach 한다.

   - dbg : debugger 종류 선택

  

이렇게 실행 하게 되면 크래쉬가 발생할 경우 windbg가 생성되게 된다.

 

test.exe 프로그램을 실행 시킬 경우 windbg가 실행 되게 된다. 그 이후 dump 명령어를 통하여 dump 생성을 한다.

 

 

파일 생성 이후 windbg로 crash 파일을 열어서 확인 하면 해당 내용에 대한 call stack 을 확인 하여 문제를 확인 할 수 있다.

 

 

 

그럼 다음엔 더 좋은 내용으로 찾아 뵙도록 하겠슴~다람쥐~~

 

 

 

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x003] crash dump file 생성하기  (0) 2012.01.06
[WinDbg 따라하기 - 0x002] minidump 분석하기.  (0) 2012.01.05
[WinDbg 따라하기 - 0x001] WinDbg Symbol path 지정 하기  (2) 2012.01.05
반응형
Windows7 64bit를 설치 후에 무작정 jre를 설치하여 실행 시키니 되지 않더군요.
따라서, Windows7 64bit 설치 과정을 나열해 봅니다.


1. Windows7 64bit를 쓴다고 64bit를 설치 하지 말자.
  - jre 만 설치하면 paros가 실행되지 않습니다. 따라서 jdk도 같이 설치 하셔야 합니다.
  
  - 또한, 32bit로 설치해야지 paros가 동작을 잘 합니다.
     http://www.oracle.com/technetwork/java/javase/downloads/jre-7u2-download-1377135.html



2. 32bit 설치 후 paros 경로를 변경한다.

  - path 지정


  - 파로스 단축 아이콘, jdk 경로 지정



3. 실행~

반응형
저작자표시

'Reverse > SystemDoc' 카테고리의 다른 글

[강의자료] 컴퓨터 보안 창과 방패  (0) 2018.01.25
[HowTo] Windows Testing Mode  (0) 2014.02.04
Windows Veriosn Check  (0) 2014.02.03
Key Log List  (0) 2012.08.07
Windows 7 Driver Test 방법  (0) 2012.01.18
반응형
Windows 7에서는 안정성을 높이기 위하여 인증서로 서명이 된 드라이버 파일만을 동작하게 됩니다.
따라서, 인증서로 서명되지 않은 드라이버는 Load 할 수 없게 되었습니다.

하지만, 방법은 있습니다.
바로 테스트 모드.

테스트 모드는 인증서로 서명되지 않은 드라이버도 Load하여 테스트를 할 수 있게 만드는 버전으로
Driver 테스트하기에 좋은 기능입니다.

방법은 bat 파일을 실행 시키거나, 아래의 명령어를 실행 시킨후 재부팅 하면 됩니다.

cmd 를 administrator로 실행 시킨 뒤, 아래의 명령어를 실행 시키시면 됩니다.

                             [출처 : http://support.microsoft.com/kb/982393/ko]

C:\bcdedit /set NoIntegrityChecks ON

bcdedit /set NoIntegrityChecks ON <-- 인증서로 인증하지 않은 Driver를 사용할때 사용하는 명령어.
 
그럼 즐거운 테스트 되시길 바랍니다.
ps ; crack에 사용되는 driver 파일들은 인증서가 적용되지 않아서 실행이 안되는 경우가 있습니다.
그런 부분을 분석하기 위해서는 위와 같은 작업을 하신 후에 테스트 하시면 좋은 결과(?)를 얻을 수 있습니다.
반응형
저작자표시

'Reverse > SystemDoc' 카테고리의 다른 글

[강의자료] 컴퓨터 보안 창과 방패  (0) 2018.01.25
[HowTo] Windows Testing Mode  (0) 2014.02.04
Windows Veriosn Check  (0) 2014.02.03
Key Log List  (0) 2012.08.07
Windows7 64bit Paros 설치  (1) 2012.01.31
반응형

오랜만에 포스트를 하네요. 
요즘 강제로 크래쉬를 만들어서 분석하는 부분에 대해서 삽질을 하기 있어서
이렇게 포스트를하게 됩니다. 

제일 먼저 crash 발생하게 한 뒤에 dump 파일을 생성하게 하는 방법입니다.
일반적으로는 crash가 발생하였을때 dump 파일을 생성하게 코딩을 하고 있지 않기 때문에
crash가 발생할 경우 Just in debugging 기능을 통하여 debugging을 하는 경우가 대부분 입니다. 

이번에 포스트 하는 부분은 crash가 발생한 프로그램에 대한 dump file을 생성하는 방법입니다.
(sample crash 파일 : http://www.codeproject.com/KB/debug/windbg_part1.aspx#_Toc64133663)

 

[그림 1.] crash 프로그램

 

crash가 발생하는 프로그램을 실행 시킨 뒤 [그림 1.] 과 같은 화면에서 Process List를 확인 합니다.

[그림  2.] 프로세스 리스트 - crash 발생하는 프로그램(Crash_Test.exe)

 

Crash_Test.exe 프로세스를 선택 후 오른 쪽 버튼을 눌러 [그림 3.]과 같이 Dump를 하면 됩니다.

[그림 3.] crash 파일 생성 과정

 

Path 경로를 따라 가서 DMP 파일을 windbg를 이용하여 분석하면 됩니다.
분석은 추후에 포스트를 하도록 하겠습니다.

감사합니다.

반응형

'Reverse > 분석 문서' 카테고리의 다른 글

[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
[WinDbg 따라하기 - 0x002] minidump 분석하기.  (0) 2012.01.05
[WinDbg 따라하기 - 0x001] WinDbg Symbol path 지정 하기  (2) 2012.01.05
반응형

안녕하세요. crattack 입니다.

이번에는 minidump를 분석하는 방법에 대해서 정리해볼까 합니다.
먼저, minidump를 뜨기 위해선 간단한 설정이 필요합니다.

시스템 정보 -> 고급 -> 시작 및 복구 (설정 선택) 

[ 그림 1. minidump 설정 하기 ] 

기본적으로 minidump는 c:\windows\minidump\ 디렉토리 안에 저장 되므로 windbg에서
기본 경로에서 minidump가 생성된 파일을 열어서 분석하면 됩니다.
(※ 열기전에 symbol path를 지정해주어야 합니다. 그래야지 잘나오죠~^^) 

[ 그림 2. minidump 일반적인 분석 내용 ]

[ 그림 3. minidump 상세 분석 내용 ]

감사합니다.
제가 아직 windbg 사용에 익숙치 않아서 간단한 정보만 올리고 있습니다.
혹시 좋은 Tutorial이 있을 경우 같이 공부하였으면 좋겠네요^^
그럼 좋은 하루 되셨으면 합니다.

반응형

'Reverse > 분석 문서' 카테고리의 다른 글

[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
[WinDbg 따라하기 - 0x003] crash dump file 생성하기  (0) 2012.01.06
[WinDbg 따라하기 - 0x001] WinDbg Symbol path 지정 하기  (2) 2012.01.05
반응형

오랜만에 글을 올리네요.

요즘 windbg를 사용해보려고 공부중입니다.

(Install File : http://www.microsoft.com/whdc/devtools/debugging/default.mspx )

※ symbol 설치 파일도 받으시면 좋습니다.

 

windbg를 처음 열었을때 어떤 파일을 Attach를 하더라도

관련 명령어를 하나도 실행하지 못합니다.

 

하지만, Symbol Path를 지정해주면 관련 명령어(ex. !peb)를 사용할 수 있습니다.

 

[ 그림 1. Symbol Path 지정 전 Notepad.exe Attach 결과 ]


!peb의 명령어를 지정하여도 에러 문자만 나오고 관련 정보는 나오지 않는다.
하지만,
ctrl+S (File -> Symbol File Path) 에 아래와 같은 내용을 추가 해 줄 경우 !peb 명령어가 제대로
동작하는것을 볼 수 있다.

 

[ 그림 2. Symbol Path 지정 (Ctrl+S) ] 

꼭!!! Reload를 체크해 주어야 합니다. 그래야지 적용됩니다.
다음은 !peb 명령을 다시 적용하였을때 나온 결과 값입니다. 


[ 그림 3. !peb 명령어 실행 결과 ]

이상 간단한 symbol path 지정이었습니다.
windbg 사용에 있어 좋은 정보 있으시면 댓글 남겨주세요^^

반응형

'Reverse > 분석 문서' 카테고리의 다른 글

[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
[WinDbg 따라하기 - 0x003] crash dump file 생성하기  (0) 2012.01.06
[WinDbg 따라하기 - 0x002] minidump 분석하기.  (0) 2012.01.05

+ Recent posts

티스토리툴바