Computer/Security
-
.reloc section and ASLRComputer/Security 2014. 2. 6. 14:31
Windows PE 파일에서 .reloc section을 제거하기 전에는 ASLR에 의해 실행 파일이 메모리에 올라오는 위치가 달라진다. (Windows Vista 이상) 그런데 .reloc section을 제거하면 XP에서 실행하면 항상 보이던 0x400000 에서 시작하게 된다. (Windows 8.1에서 실행함) .reloc section 제거는 다음 유틸리티를 이용 (http://www.jrsoftware.org/striprlc.php) Windows 8.1에서 일반적으로 ASLR에 의해 EXE 파일의 memory 위치가 실행할 때마다 바뀜 Windows 8.1에서 reloc section 제거하고 실행했을 때 memory map
-
Debugger Detection via Hardware BreakpointsComputer/Security 2011. 12. 6. 18:11
Assembly로 하는 코드들은 다른 데 나와 있어서 Visual C++로 해 보았다. LPEXCEPTION_POINTERS except_ptr; __try{ RaiseException(1, 0, 0, NULL); } __except (except_ptr = GetExceptionInformation(), EXCEPTION_EXECUTE_HANDLER) { CONTEXT *ctx = except_ptr->ContextRecord; if (ctx->Dr0 != 0 || ctx->Dr1 != 0 || ctx->Dr2 != 0 || ctx->Dr3 != 0 || ctx->Dr6 != 0 || ctx->Dr7 != 0) { printf("Debugger Present - Hardware Breakpoints\n..
-
Confiker 웜 대처를 통해 배운 교훈... 을 읽고Computer/Security 2011. 2. 7. 20:06
"Conficker Working Group Lessons Learned 17 June 2010"을 읽으면서 전 세계적인 문제이기 때문에 여러 정부, 보안 기관, 개인들의 협업이 중요했다는 사실. 컨피커의 경우 업데이트를 내장된 알고리즘에 따라서 정해진 도메인 이름을 가진 호스트로부터 하기 때문에 ICANN이나 국가별 ccTLD 관리하는 회사들의 협조를 받는 것이 매우 중요했다는 것. 선제적으로 DNS를 미리 등록하는 등의 일도 하는데... 정상 도메인도 포함되고 있어서 False positive도 많이 생길 수밖에 없고... 비용이 너무 많이 드는 문제도 있다. 이 경우에는 협조가 잘 되어서 도메인 미리 등록하는 것이나 악성 도메인 차단이 잘 이루어졌지만, 이런 방식으로는 자원 소모가 너무 커서 중소규..
-
스마트폰 보안 표준화Computer/Security 2011. 2. 7. 10:44
얼마 전에 TTA Journal에 실린 염흥열 교수님의 "국내외 스마트폰 보안 표준화 동향 및 추진 전략"을 보았다. 스마트폰 보안이 기존 PC 보안과 차이점은 개인 정보, 위치 정보, 분실 위험 등이다. 기존에 있던 어플리케이션 보안, 네트워크 보안, 서비스 보안은 그대로 가져 간다. 따라서 표준화도 기존 보안 표준을 담당하던 ITU-T SG17에서 그대로 하는 것이 적합하다고 보고 있다. 문제는 시장이 너무 급변하기 때문에 표준화가 뒤따라갈 수밖에 없는 애매한 상황이라는 것이다. 클라우드 보안에서와 마찬가지로...
-
-
IMDDOS BotnetComputer/Security 2010. 9. 27. 10:42
http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf IMDDOS botnet provides a well organized commercial DDoS service. Damballa says that it was found because the botnet activity is so noisy. The communication between C&C servers and clients, the client binaries, and the domain names are not encrypted.
-
봇넷 차단에 대한 법적인 접근Computer/Security 2010. 9. 14. 09:47
마이크로소프트가 Waladec Botnet 무력화시키기 위해서 국가에서 허락을 받고 C&C 서버에 대한 도메인을 차단했다. 법적으로 해결만 된다면 이런 방법도 좋은 것 같은데, 미국과 같이 인터넷 통제 권한이 있으면 꽤 괜찮은 방법인 듯 하다. http://www.infoworld.com/t/malware/microsofts-botnet-decapitation-scores-legal-win-against-cyber-crime-057?source=footer
-
보안성 측정의 한 방법Computer/Security 2010. 8. 23. 17:14
보안을 할 때 항상 고민되는 것이 보안성을 어떻게 평가할까이다. 객관적인 기준이 있으면 좋겠으나, 실험도 어렵고... MITRE에서 관리하고 있는 시스템 보안 측정 방식이다. Making Security Measurable http://makingsecuritymeasurable.mitre.org/ 여기서는 취약점, 설정, 표준 준수 등 목록 이용해서 측정 한다. 엔터프라이즈 시스템에 대해서는 도움이 될 것 같다. 연구할 때는 이 기준으로 평가하기는 어렵겠지만... 이런 방식 외에는 없을까? 예전에도 비슷한 방식으로 복잡도 측정하면서도 뭔가 부족한 느낌이 들었는데.