방명록

  1. TISTORY 2011/10/27 17:28  수정/삭제  댓글쓰기

    안녕하세요, TISTORY입니다.

    먼저, 티스토리를 이용해 주셔서 감사합니다.
    2차 도메인(블로그주소)을 설정하실 때 입력하셨던 DNS 호스트 IP가 11월 4일부터 이용에 제한이 되게 되어 방명록에 글을 남기게 되었습니다. 제한이 되기 전, 이용 가능한 DNS 호스트 IP로 반드시 변경해주시기 바라며, 만약 변경하지 않을 시에는 추후 사용하고 계신 2차 도메인으로 블로그에 접속이 되지 않음을 알려드립니다. 보다 나은 서비스를 제공하기 위해 121.254.206.21 / 121.254.192.211 / 211.172.252.15 / 211.172.252.123 IP 사용을 종료하는 것이니 양해 부탁 드리며, 자세한 사항은 아래 안내해드린 공지사항을 확인해주시기 바랍니다.

    * 2차 도메인 블로그의 DNS 호스트 IP 변경 안내 공지(http://notice.tistory.com/1686)

    감사합니다.

  2. osiris 2011/03/03 22:05  수정/삭제  댓글쓰기

    요즘 네이트온에도 안보이시고 근황이 궁금하네요 ㅠ

    • jz- 2011/03/07 23:15  수정/삭제

      네이트온에 들어가도 아무도 말안걸어서 ㅠㅠ

  3. 퓨틱 2010/12/20 23:32  수정/삭제  댓글쓰기

    안녕하세요
    좋은 글 잘보고 있습니다.
    얼마전에 Private EXE Protector 언팩 시도를 했었는데요,
    OEP도 찾고, IAT Redirection도 별로 안돼있고해서 별 무리가 없을 줄 알았는데 Anti-Dump를 걸어놨더라구요 -_-; 섹션의 VirtualSize가 몇백메가에 달해서 덤프를 뜰때 용량이 무시무시하던데, 이런 경우는 어떻게 처리해야 현명한 방법일까요... 도움 부탁드립니다 (_ _)

    • jz- 2010/12/21 01:09  수정/삭제

      아 네 감사합니다 ㅎㅎ
      그 몇백메가의 공간을 다 쓰진 않겠죠?
      간단하게 해결하는 방법은
      일단 원본파일의 크기가 크진 않을테니, 일부만 뜨면 될겁니다.

      큰섹션이 뒷쪽에 있으면 무시하고 앞부분만 덤프뜨고
      pe header를 고치셔서 섹션수를 조정하시고

      큰섹션이 앞쪽에 있으면
      그 큰 virtualsize만큼 다 덤프 뜨지 마시고
      메모리상에서 봤을 때 원본을 다 포함하는 것으로 보이는 부분정도를 정해서 그만큼 뜨고 peheader를 약간 손봐주면 될겁니다.
      큰섹션이 앞에 있으면 뒷쪽 섹션은 아마 원본에겐 필요없는 부분일테니 버려도 됩니다.
      일부덤프후 pe header에서 확인해야 하는건
      섹션헤더의 raw/virtual size와 optional header의 sizeofimage, file header의 numberofsections 정도겠네요

      요정도로 언팩이 제대로 되려나 파일이 없어서 추측만 해드립니다^^;

  4. TISTORY 2010/05/13 15:09  수정/삭제  댓글쓰기

    안녕하세요. TISTORY입니다.

    너무 오랜만에 방명록에 전체 인사를 드리는 것 같습니다.
    화창한 날씨가 계속 되는 5월, 잘 지내시죠?^^

    갑작스런 방문 인사에 놀라신 분들도 계실 것 같습니다.
    11일부터 제공하게된 티에디션 기능을 소개하고 이벤트도 알려드리려 글을 남겨드립니다.


    관련 공지 : http://notice.tistory.com/1511


    티에디션 기능도 이용해보고, 멋진 넷북을 받을 수 있는 기회를 놓치지 마세요~!


    감사합니다.

  5. 마플 2010/02/04 23:00  수정/삭제  댓글쓰기

    안녕하세요 jz님 ^_^ 오랜만입니다.

    요즘 급 추워지던데 건강유의하세요~

    얼마전만해도 회사에 들어가기 전에 해를 보지 못했는데
    요즘에는 아침공기 마시면서 맑은 하늘도 보고 봄이 오는게 느껴집니다.

    새해 소망하시던 모든일 잘되세요. 우리나라 새해는 1월과 2월 둘이 있어서
    참 좋답니다. 1월에 세운 계획을 다시 한번 생각해볼 수 있는 기회를 주는거 같아요~

    그럼^^ 건승하세요!

    • jz 2010/02/10 17:30  수정/삭제

      어디서 일하심미카? ㅋㅋ 고생이 많으십니다

      이제 곧 구정이네요. 마플님도 새해 복 많이 받으시고 vmx 잘 파헤치시길 ㅋㅋ

      ^^/

  6. HS.Soul 2010/01/03 11:44  수정/삭제  댓글쓰기

    살짝~~ 늦은 감이 있지만 새해복 많이 받으세요~~ ^^a

    • jz- 2010/01/03 12:30  수정/삭제

      감사합니다^^
      HS님도 새해 행복한 일만 가득하시길 바랍니다 유후

  7. 마플 2009/11/26 08:52  수정/삭제  댓글쓰기

    분석하기 위해서요... T_T);;

    '업무상' 분석을 해도 되고 안해도 되는 부분을 어쩔 것인가? 를 두고
    '개인적'으로 모두 분석을 해야되는게 아닌가 하는 공부하는 자세에 대한 생각과
    서버도 삭제됐고 이쯤 했음 됐지 코드놓고 분석하는건 어렵기도 하고 (-_-);
    라는 쉬운 방법을 쫓고 싶은 심정 사이에 충돌이 있어서 지지부진하고 있습니다...

    T_T).....

    • jz- 2009/11/26 10:34  수정/삭제

      ㅋㅋㅋ그러면 뭐 full로 분석하시는게 좋겠네요.

      서버가 내리는 지시에 따라 다른 짓을 하는 프로그램이라면, 서버가 무슨 패킷을 보낼지 어느 정도 예측해봐야겠죠. 아마 패킷 받은 걸 갖고 비교하는 부분에 모두 나와있겠네요 ^^
      좀 까다롭고 귀찮은 일이니 다른 샘플 분석하시는 것도 좋겠구요.ㅋㅋ

  8. 마플 2009/11/25 14:52  수정/삭제  댓글쓰기

    안녕하세요 마플입니다 T_T;;

    질문이 하나 있는데요...
    악성코드 중에 특정 서버에 접속을 한 뒤에 접속 여부에 따라서 추가적인 동작을 수행하는 놈들은 서버가 제거되었을 경우 추가 동작을 강제로라도 시켜서 분석하는게 맞을까요 아니면 멈추는게 맞을까요?

    상주시키기 위한 작업이 있는 것으로 봐서 단순 Dropper로는 보이지 않고 Bot 인거 같아서...
    좀 고민됩니당 @_@...

    살려주세요 T_T;

    • jz- 2009/11/25 15:31  수정/삭제

      '맞다'는건 무엇을 기준으로 맞는것인가요?

      '악성'여부를 판별하기위해? 아님 분석하기위해?

      서버가 살아 있으면 분석하기 더 좋겠지만

      없어도 함수들 모두 분석하면 가능할듯....ㅋㅋ아니면

      eip강제이동해도 되고 뭐... 서버가 얼마나 많은 정보를 줄지가 문제인데 방법이야 여러가지지요^^

  9. 마플 2009/10/16 23:17  수정/삭제  댓글쓰기

    아 맞다 그렇군요 ^_^;
    미처 생각하지 못했네요 죄송합니다.
    메일 보냈습니다. 확인해주세요.

    크흑 T_T

  10. 마플 2009/10/16 22:33  수정/삭제  댓글쓰기

    메일 보셨나요.

    입상대상이었네요. 제가 설레발친듯...
    죄송합니다 (...) 소속관련해서 답장달라고 하는데
    따로 메일 보내실건지요. 만약 밝히기 곤란하시면 최종경합 포기해도 무관합니다^^

    • jz- 2009/10/16 23:09  수정/삭제

      아 저는 문서에 메일주소를 안써서 그런지 메일이 안왔습니다. ^^;

      입상대상이 뭔가요?==;;

      잘 모르지만 2위입상 아닌가여 ㅎㅎ

      꽁짜로 poc 보게 생겼음!

      발표욕심은 솔직히 없습니다 ㅋㅋ

      메일얘긴 무슨 말씀이신지 메일좀 주세요^^

<< prev 1 2 3 next >>