kisoo

1.zeus 동향 zeus는 봇넷을 빌드,배포,관리에 필요한 모든 도구를 제공하는 툴킷이다. zeus 툴킷은 세 개의 조합으로 이루어져 있는데 첫번째가 봇넷을 업데이트 하고 유지보수하는 control pannel 두 번째,감염될 실행 바이너리및 구성파일(수집정책 및 봇넷환경 정책)을 생성하는 confiuable Builder 세번째는 수집된 정보를 체계적으로 뷰잉 할 수 있는 Viewer (검색,소팅 등등) 로 구성되어 있다. zeus 툴킷은 많은 사용자에게 상업적으로 판매되고(700$) 있으며 ,이에 따른 zeus 변종이 계속해서 증가하고 있는 추세다. 또한 , 상용버전에 대한 홍보 역할을 하는 무료 공개버전도 배포되고 있어서 앞으로 이러한 zeus 변종은 더욱 크게 증가 할 것으로 보인다. 더욱 무시..

JDK 1.6.27 - http://www.oracle.com/technetwork/java/javase/downloads/jdk-6u27-download-440405.html 이클립스 (3.5.2) - http://www.eclipse.org/downloads/download.php?file=/technology/epp/downloads/release/galileo/SR2/eclipse-jee-galileo-SR2-win32.zip Tomcat 6.0 - http://mirror.apache-kr.org/tomcat/tomcat-6/v6.0.33/bin/apache-tomcat-6.0.33.exe HeidiSQL - http://heidisql.googlecode.com/files/HeidiSQL_6...

패킷 생성해서 공격하는 툴. 테스트 시에 유용하게 사용된다. 시연 동영상 http://code.google.com/p/ostinato/

[펌] http://john6.springnote.com/pages/3329381 실습 보고서 pipelining과 multi-processing(multi-threading)과는 혼란을 일으키지 않도록 하자. 무서울 정도로 했던 말을 그대로 옮긴다. (녹음 당하는 느낌) Re-entrant & Threads 이제 뜬 구름은 그만 잡자. 코드 봅시다. 찾아서 공부하는 시간이 시작되었습니다. Filter Manager Model 일단 큰 그림을 볼 수 있는 페이지 (마이크로소프트) http://www.microsoft.com/whdc/driver/filterdrv/default.mspx anti-virus filters, backup agents, encryption products 등을 작성할 때 파일 ..

SCANNER (MiniFilter) DriverEntry 모든 DriverEntry는 이와 비슷한 작업을 한다. FltRegisterFilter() FltCreateCommunicationPort() FltBuildDefaultSecurityDescriptor() : 관리자만이 접근 가능하도록 InitializeObjectAttributes() : OBJ_KERNEL_HANDLE을 통해 커널 핸들임을 알려야 한다. FltStartFiltering() FltCloseCommunicationPort() FltUnregisterFilter() Structure FLT_OPERATION_REGISTRATION Scanner에서는 IRP_MJ_CREATE (Pre, Post) IRP_MJ_CLEANUP (Pre..

프로세스의 시작과 종료 시점을 알려주는 함수로 PsSetCreateProcessNotifyRoutine() 이 있다. 다음과 같이 설정하면 프로세스 시작/종료 시에 CreateProcessNotifyRoutine() 이 호출된다. PsSetCreateProcessNotifyRoutine( CreateProcessNotifyRoutine, FALSE ); 콜백함수는 아래와 같은 프로토타입을 가지는데.... VOID CreateProcessNotifyRoutine( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ) { ... } 이 함수가 호출되었을 때 프로세스 컨텍스트가 MSDN 에 잘 나와 있지 않다. 궁금해서 확인해 보니 Create == TR..

http://msdn.microsoft.com/en-us/library/ms682396(v=vs.85).aspx The name can have a "Global\" or "Local\" prefix to explicitly create the object in the global or session name space. The remainder of the name can contain any character except the backslash character (\). For more information, see Kernel Object Namespaces. Fast user switching is implemented using Terminal Services sessions. Kernel o..

질문1 NDIS.sys란 계층이 있는데요 저는 NDIS가 미니포트 IM 프로토콜 드라이버를 감싸고 있는 그림만 봐서 이그림은 좀 생소하네요 이그림의 의미가 미니포트에서는 어퍼에지쪽으로 NDIS인터페이스에 맞춰주고 프로토콜 드라이버에서는 로워에지쪽으로 NDIS의 인터페이스에 맞춰준다는 의미인가요? 네 감싸고 있는 것이 맞습니다. 실제 코드 구현으로 하면, ndis.sys는 하나의 라이브러리라고 생각하시면 됩니다. 즉 표준 인터페이스를 제공함으로써 미니포트 드라이버와 프로토콜 드라이버를 분리시켜서 서로 다른 업체에서 개발할 수 있도록 합니다. 즉 Lower, Upper Edge 함수들은 콜백함수들입니다. 이 부분은 open block이라는 개념으로 미니포트와 프로토콜을 서로 연결 시켜서 미니포트에서는 Low..

보호되어 있는 글입니다.

윈도우 버전 및 OS 이름을 알고 싶으면 참고~ GetProductInfo Function http://msdn.microsoft.com/en-us/library/ms724358(v=vs.85).aspx Getting the System Version http://msdn.microsoft.com/en-us/library/ms724429(v=vs.85).aspx