Ollydbg을 통해 ActiveX파일을 디버깅하는 내용에 대해 포스팅하려 한다.
현업에서 취약점 분석업무를 수행하다 보면 새로운 프레임워크나 혹은 서드파티솔루션에 대해서 분석을 하게될 경우가 종종 발생한다.
예를 들면 파일 위변조를 통해 암호화 로직, 키 값(ActiveX 내)을 획득하여 복호화 전송하거나 키보드 보안 프로그램 우회를 통해 평문 비밀번호 노출 등 다양하게 활용할 수 있다.
이번 설명은 attach 기능을 통한 디버깅 방법이며,
아규먼트를 통한 방법, dll이 로드될때마다 디버깅하는 방법 등 다양한 방법이 존재한다.
1. Activex 레지스트리 등록
2. 등록된 Activex를 레지스트리에서 찾아 웹상에서 실행할 수 있도록 html 작성
3. 작성된 html을 실행
4. Ollydbg -> Attach
5. iexplore.exe -> attach -> ollydbg. 멈춤 상태가 정상임.
6. F9 로 run 할 경우 running으로 변경되면서 actvex가 실행되어 있음을 확인.
이 방법 외 다양한 ollydbg 옵션을 통해 디버깅하는 방법이 존재하며 재대로 명확히 익혀둘 시 악성코드 분석은 물론 프로그램 분석시 유용히 쓰임을 명심해야 한다.
'ETC' 카테고리의 다른 글
랜섬웨어(Lokcy)_DLL_최초_변종_16.09.08 (0) | 2017.04.27 |
---|---|
CrackME 문제 & 루틴분석 (0) | 2017.01.29 |
[POC]PHPMailer 원격코드 실행 취약점 POC(CVE-2016-10033) (0) | 2017.01.02 |
TLS Callback (0) | 2016.12.30 |
리버싱 툴 소개(입문 툴) (0) | 2016.12.30 |