윈도우 부팅 후 로그인 창(Winlogon)에서 아이디와 패스워드를 입력하면, LSA 서브시스템이 인증 정보를 받아, NTLM 모듈에 넘기고, 이를 다시 SAM이 받아 로그인 처리를 한다. LSA(Local Security Authority) 란? 윈도우 인증과정에서 사용되는 주요 서비스 중 하나. 윈도우 인증의 핵심 서비스. 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사. (로컬 및 원격 로그인 포함) 계쩡명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록 NT 보안의 중심 서비스이며, 보안 서브시스템이라고 불린다. SAM(Security Account Manager)란? 사용자/그룹 계쩡 정보에 대한 데이터베이스를 관리 사용자 로그인 정보와 SA..

참고: https://cocomelonc.github.io/ AV 엔진 우회 2 실습환경 Windows 10 Home 21H2, VMware® Workstation 16 Pro 16.2.3, 가상머신 내 kali-linux-2022.1, 가상머신 내 Windows 10 Home 21H2 2GB 2CORE 무슨 트릭을 써 볼 것이냐면.. AV 엔진이 스캔을 할 때 제한적으로 주어진 "시간"에 대한 트릭이다. 시스템을 검사하는 동안 AV엔진은 많은 파일을 분석하는데.. 특별한 것에 엄청난 시간을 쏟을 수 없음. AV엔진 우회 1에서처럼 페이로드를 암호화하는 것 외에 AV엔진의 탐지를 피하는 고전직인 방법 중 하나이다. => 100MB 메모리를 할당하고 Wirte. 1. metasploit으로 쉘코드 만들기 ..

윈도우 프로세스 핵심 데이터 구조체에 대해서 알아보자. 익스큐티브 프로세스 (EPROCESS) - 모든 윈도우 프로세는 EPROCESS로 표현됨. - 프로세스의 여러 속성 뿐만아니라 연관된 다른 구조체를 가리키는 포인터도 존재함. - 시스템 주소 공간에 위치함 KPROCESS - EPROCESS 구조체의 첫 필드인 PCB의 타입. - 커널 프로세스를 위한 구조체 타입이다. - 익스큐티브 루틴은 EPROCESS에 정보 저장, 그러나 운영체제 커널은 KPROCESS에 정보를 저장 - 커널의 일부로서 디스패처, 스케줄러, 인터럽트, 시간관리코드 등이 존재 --> 익스큐티브 상위 레벨 기능과.. 해당 기능의 구현을 위한 하위 레벨 함수의 구현 간에 추상화 계층을 제공 --> 계층 간 원치 않는 종속성이 생기지 ..

윈도우 보안의 주 구성요소 및 DB는 %SystemRoot%\System32 디렉터리에 위치한다. 보안 참조 모니터(SRM,Security Reference Monitor) - Ntpslrm.exe에 포함된 구성요소. 보안 컨텍스트를 기술하기 위한 접근 토큰의 데이터 구조체를 정의. - 객체에 대한 보안 접근 검사 실시 - 특권 조작 및 보안 감사 메시지의 결과 생성 로컬 보안 권한 서브시스템 서비스(Lsass, Local Security Auythority SubSystem Service) - Lsass.exe를 실행하는 유저 모드 프로세스. - 로컬 시스템의 보안 정책과 사용자 인증, 이벤트 로그로의 보안 감사 메시지 전달을 담당함. - 로컬 보안 권한 서비스인 Lsasrv.dll은 Lsass가 로드..

원인 권한 상승 프로그램 짜다가.. 시스템 dll을 날려버린 듯 함. propsys.dll 결과 부팅이안돼 그냥포맷해야 하는걸까? 내... 메모리날아갈생각하니 기절할것같아. 해결 서너번 강종 ▶ 고급 부팅 옵션 진입 ▶ 명령프롬포트로 실행해서 이것저것 해봄 ▶ 안됨 ▶ 시스템 초기화할까 고민 ▶ 데이터는 남아도 응용이 다 날아가서 싫다 ▶ 시스템 복원보니 4월30일 15시에 fasoo DRM 삭제하면서 복원지점 생성됨 ▶ 당장 복원함 ▶ 해결

VM 엔진 우회 실습 1 실습환경: windows 10 21H2 64bit, windiws 7 service pack1 64bit 실습대상: Vmware 실습도구: visual studio 2022 17.1.1​, regedit 참고: https://cocomelonc.github.io/ 악성코드 개발 실습 3 FOR Persistence 여기 포스팅에서 레지스트리 관련 함수들 배운 겸, VM엔진 우회 실습도 이를 이용해서 해 보려고 한다. VM엔진 우회가 무엇이냐하면.. 어떤 실행파일 돌려보기 전에, VirtualBox에서 실행시켜봄으로써 악의적인 파일 여부를 탐지하는데, 이를 우회하기 위한 것이다. 코드는 VM엔진일경우, 악의적인 행위를 하는 코드가 실행되지 않도록 만들 것. 즉, VM엔진의 특징을 ..

네이버에서 티스토리로 블로그 이사해주는 대행업체 왜 없냐? 귀찮아서 더 못옮기겠다. 이제야 두 개 짧은글 쓴건데. 걍ㅋ 새시작 할래 hello tistory

참고: https://cocomelonc.github.io/ AV 엔진 우회 실습 1 [튜토리얼] payload: calc.exe 프로세스를 실행하는 코드. (멀웨어라고 가정) 목적 1. 코드 실행 2. 악성 프로그램을 탐지하는 안티바이러스 엔진의 수를 확인 3. 해당 엔진의 수를 줄이려고 시도할 것. ▶ 본인은 Windows Defender를 우회하려는 목적으로 시도해볼 것이다. #include #include #include #include unsigned char my_payload[] = { 0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52, 0x51, 0x56, 0x48, 0x31, 0x..