KimSangLab

Debugging

  디버깅(Debugging)은 컴퓨터 프로그램의 정확성이나 논리적인 오류(버그)를 찾아내는 테스트 과정을 뜻한다. 일반적으로 디버깅을 하는 방법으로 테스트 상의 체크, 기계를 사용하는 테스트, 실제 데이터를 사용해 테스트하는 법이 있다. 디버거는 디버그를 돕는 도구로 디버거는 주로 원하는 코드에 중단점을 지정하여 프로그램 실행을 정지하고, 메모리에 저장된 값을 살펴보며, 실행을 재개하거나, 코드를 단계적으로 실행하는 등의 동작을 한다. 고급 디버거들은 메모리 충돌 감지, 메모리 누수 감지, 다중 스레드 관리 들의 기능도 지원한다.

Anti-Debugging

  안티 디버깅(Anti-Debugging)이란 디버깅을 방해하고 분석을 방해하는 기술이다. 디버깅을 당한다면 해당 디버거 프로그램을 종료 시키거나 에러를 발생시키는 방법등 다양한 방법으로 분석을 방해한다. 안티 디버깅 기법을 이용하면 내부 코드를 분석하여 프로그램의 흐름을 파악 하는 걸 막을 수 있다. 주로 상용 프로그램에서 자주 이용되고 있다. 안티 디버깅 기술에는 수 많은 방법이 존재하며 현재도 발전하고 있으며, 그에 따라 이를 우회하는 기술도 지속적으로 발전하고 있다.

출처 - 위키백과 

Packing

  실행 압축(Packing)은 말 그대로 실행 파일을 압축하는 것을 말한다. 수많은 실행 파일 압축 프로그램이 존재하며 이러한 프로그램들은 MS-DOS 시절부터 존재해왔다.

  소프트웨어 개발자들이 실행 파일 압축을 사용하는 까닭은 많은데, 주로 소프트웨어의 기억 장치의 용량을 줄이는 것이 목적이다. 실행 압축 프로그램의 목적은 실행 코드를 압축하는 것이며 표준 데이터 압축 프로그램 기능보다 더 나은 압축률을 보이고 있다. PE 포멧으로 되어 있는 실행 파일을 압축할 때의 한 가지 장점으로는 보안을 들 수 있다. 어떠한 프로그램 안의 데이터를 분석하는 프로그램을 사용하여 프로그래머가 짠 내용을 분석하지 못하게 막을 수 있다. 한글 패치를 만들때에도 이러한 프로그램이 이용되기도 한다. 압축된 실행 파일은 파일 시스템의 공간을 덜 차지하기 때문에 파일 시스템으로 부터 데이터가 메모리에 전송되는 시간이 덜 걸린다.

실행 압축 프로그램의 종류

  1) ASPack

  2) CExe

  3) exe32pack

  4) NeoLite

  5) PKLite32

  6) PEtite

출처 : 위키 백과 

Hooking

  후킹(Hooking)은 소프트웨어 공학 용어로 운영체제나 응용 소프트웨어 등의 각종 컴퓨터 프로그램에서 소프트웨어 구성 요소 간에 발생하는 함수 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 명령, 방법, 기술이나 행위를 말한다. 이때 이러한 간섭됩 함수 호출, 이벤트 또는 메시지를 처리 하는 코드를 후크(Hook)라고 한다. 크래킹(불법적인 해킹)을 할 때 크래킹 대상 컴퓨터의 메모리 정보, 키보드 입력 정보 등을 빼돌리기 위해서 사용되기도 한다. 일반적으로 후크는 소프트웨어가 이미 실행중일때 삽입되지만, 후킹은 응용 프로그램이 실행되기도 전에 쓰일 수 있는 전략이다.

 1) 물리적 수정 : 응용프로그램이 실행되기 전에 리버스 엔지니어링 기법으로 실행 또는 라이브러리를 물리적 수정함으로써 후킹을 할 수 있다. 이러한 기법은 일반적으로 다른 모니터로 함수 호출을 가로채거나 기긋덜이 완전히 다른 함수로 대체하는데 사용된다.

  2) 런타임 수정 : 운영체제와 소프트웨어는 후크를 삽입하는 프로세스에 충분한 권한이 부여된 경우 런타임 도중 이벤트 후크를 쉽게 삽입할 수 있다. 예를 들어, Microsoft Windows 에서는 대화상자, 스크롤바 및 메뉴뿐만 아니라 다른 항목에 대한 시스템 이벤트와 응용 프로그램 이벤트를 처리하거나 수정하는데 사용될 수 있는 후크를 삽입 할 수 있다. 또한 후크는 키보드 및 마우스 이벤트를 삽입, 제거, 수정이 가능하다. 리눅스에서는 후크가 넷필터를 통해 커널 내의 네트워크 이벤트를 처리 하기 위해 비슷한 방식으로 사용될 수 있는 또 다른 예를 제공한다.

 - 출처 : 위키 백과 

Malware

  악성 코드 또는 멀웨어(Malware)는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 예전에는 단순히 컴퓨터 바이러스만이 활동하였으나, 1990년대 말 들어서 감염 방법과 증상들이 다양해지면서 자세히 분류를 나누기 시작했다. 과거에는 디스크 복제 등 저장매체를 따라 전파되었으나 네트워크가 발달하면서 이메일이나 웹으로 감염되는 경우가 훨씬 많아졌다.

  악성코드를 분석하는 방법은 크게 정적 분석과 동적분석으로 나눌 수 있다.

   1) 정적 분석 : 프로그램을 디스어셈블하는 디버깅 프로그램들을 이용하는 방법으로 디스어셈블된 프로그램의 코드를 실행시키지 않고 분석하는 기법이다.

   2) 동적 분석 : 런타임 디버깅 기법을 이용하여 통제된 상황 하에서 악성코드를 직접 실행시키며 이후에 발생하는 변화들을 분석하는 형태로 이루어진다.

출처 : 위키백과 

Exploit

  취약점 공격 또는 익스플로잇(Exploit)이란 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안, 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위를 이르기도 한다. 취약점 공격은 주로 공격 대상 컴퓨터의 제어 권한 획득이나 서비스 거부 공격(Denial of Service) 등을 목적으로 한다.

  취약점 공격이 실행되는 곳에 따라 두가지로 구분 할 수 있습니다.

   1. 로컬 취약점 공격 : 취약점 공격이 공격 대상 자체에서 실행됨.

   2. 원격 취약점 공격 : 공격자의 컴퓨터에서 실행되어 다른 컴퓨터를 공격 대상으로 함.

출처 : 위키 백과 

Zero-Day Attack

  제로 데이 공격(Zero-Day Attack)은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 이러한 시점에서 만들어진 취약점 공격을 제로 데이 취약점이라고도 한다.

  제로 데이 공격 대상물이 되는 프로그램은 공식적으로 패치가 배포되기 전에 감행된다. 이런 프로그램들은 보통 대중들에게 공개되기 전 공격자들에게로 배포된다. 단어의 어원은 공격이 감행되는 시점에서 유래한 것이다. 악성코드 제작자들은 제로 데이 대상물의 취약점을 여러 가지 경로로 공략할 수 있다. - 출처 : 위키 백과 

Buffer Overflow

  버퍼 오버플로(Buffer overflow) 또는 버퍼 오버런(Buffer overrun)은 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점이다. 컴퓨터 보안과 프로그래밍에서 이는 프로세스가 데이터를 버퍼에 저장할 때 프로그래머가 지정한 곳 바깥에 저장하는 것이다. 벗어난 데이터는 인접 메모리를 덮어 쓰게 되는데 다른 데이터가 포함되어 있는 수도 있는데, 손상을 받을 수 있는 데이터를 프로그램 변수와 프로그램 흐름 제어 데이터도 포함된다. 이로 인해 잘못된 프로그램 거동이 나타날 수 있으며, 메모리 접근 오류, 잘못된 결과, 프로그램 종료, 또는 시스템 보안 누설이 발생할 수 있다.

  버퍼 오버플로가 코드를 실행시키도록 설게되거나 프로그램 작동을 변경시키도록 설계된 입력에 의해 촉발 될 수 있다. 따라서 이는 많은 소프트웨어 취약점의 근간이 되며 악의적으로 이용될 수 있다. 경계 검사로 버퍼 오버플로를 방지할 수 있다.

  버퍼 오버플로는 보통 데이터를 저장하는 과정에서 그 데이터를 저장할 메모리 위치가 유효한지를 검사하지 않아 발생한다. 이러한 경우 데이터가 담긴 위치 근처에 있는 값이 손상되고 그 손상이 프로그램 실행에 영향을 미칠 수도 있다. 특히, 악의적인 공격으로 인해 프로그램에 취약점이 발생할 수도 있다. 하지만 최근에는 버퍼 오버플로우는 검사해주는 컴파일러가 개발되고 있으면 오버플로우를 검사해주는 안전한 함수 사용을 권장하고 있습니다. - 출처 : 위키 백과 

Reverse Engineering

  리버스 엔지니어링(Reverse Engineering) 또는 역공학은 장치 또는 시스템의 기술적인 원리를 그 구조분석을 통해 발견하는 과정이다. 이것은 종종 대상(기계 장치, 전자 부품, 소프트웨어 등)을 조각내서 분석하는 것을 포함한다. 그리고 유지 보수를 위해, 또는 같은 기능을 하는 새 장치를 원본의 일부를 이용하지 않고 만들기 위해 대상의 세부적인 작동을 분석하는 것을 포함한다.

  리버스 엔지니어링의 기원은 상업적 또는 군사적으로 하드웨어를 분석한 것에서 시작되었다. 목적은 원본 생산의 절차에 관한 지식이 거의 없는 상태에서 최종 제품을 가지고 디자인 결정과정을 추론하는 것이다.  대한민국과 일부 국가에서는 리버스 엔지니어링을 금지하고 있다. 그런데 이때 금지하는 것은 이진 코드로 이루어진 실행 파일의 리버스 엔지니어링을 금지하고 있을 뿐, 실행 결과로써 만들어진 파일이나, 그 파일의 형식을 리버스 엔지니어링 하는 것은 금지하지는 않는다.  출처  - 위키 백과

  리버스 엔지니어링은 요즘 제가 관심을 가지고 공부하고 있는 분야 입니다. 리버스 엔지니어링 기술등을 이용하여 바이러스, 악성코드, 프로그램 취약점 분석을 수행 할 수 있습니다. 이후 포스팅을 통해 리버스 엔지니어링 관련 기술등을 정리해보겠습니다.