너도 나도 다같이 리버싱!!!
IDA 분석 정보를 공유합시다!
oroi
www.CodeEngn.com
2014 CodeEngn Conference 10
Why?
Ø 더럽게 많은 악성코드 !!!
Ø 더럽게 어려운 바이너리 !!!
Ø 혼자 못해먹겠다 싶을 때 !!!
Why?
Ø 분석하다가 퇴근하고 싶은데 !!!
Ø 같은 팀이 다 퇴근해서 인수 인계 안될 때 !!!
Ø 나도 퇴근 좀 해보자 !!!
팀원 감시??
Concept
Function
Comment
Code
IDB분석가 김씨
IDA Pro
I
D
B
I
D
B
ü 파일 주고 가라고 !!!
ü 버전 안 맞아 !!!
ü IDB 파일 너무 커!!!
IDB분석가 김씨
IDA P...
IDA PRO???
IDA PRO Plugins
CodeShare
ü GET.PHP : 분석 정보 추출
IDB분석가 김씨
IDA Pro
IDA Python
ü Alt + F7 : Script Load
ü CodeShare.py
- GET or SET Reverse I...
CodeShare
[Ctrl+4]This function : DB -> IDB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5 추출
ü 함수 A
ü 함수 B Function
Comment
Code
ü Fun...
CodeShare
[Ctrl+5]This function : IDB -> DB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5, 이름,
주석 정보를 추출
ü 함수 A
ü 함수 B Function
Commen...
CodeShare
[Ctrl+6]This function : IDB(raw) -> DB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5, 이름,
디스어셈블 코드, 주석 정보를
추출
ü 함수 A
ü 함수 B ...
CodeShare
[Ctrl+7]ALL function : DB -> IDB
[Ctrl+8]ALL function : IDB -> DB
[Ctrl+9]ALL function : IDB(raw) -> DB
ü 함수 A
ü...
RAW ???
웹에서
분석 수행
함수
MD5
함수
이름
팀원 감시용으로
쓰지마세요 ㅠ.ㅠ
DEMO
IDA Pro 5.0 이상
Q & A
www.CodeEngn.com
2014 CodeEngn Conference 10
Upcoming SlideShare
Loading in …5
×

[2014 CodeEngn Conference 10] 조제경 - 너도 나도 다같이 리버싱

1,015 views

Published on

2014 CodeEngn Conference 10

IDA 분석 정보를 공유합시다!

분석 할때 한명이 혼자서 모든 것을 다 하던 시대는 난독화되거나 대용량 바이너리에 의해 위기를 맞이하고 있다. 이를 위해 여러명의 분석가가 협업할 수 있는 솔루션을 제시하고 향후 코드엔진의 주요 서비스로 자리잡기 위한 방법을 이야기 하고자 한다.

http://codeengn.com/conference/10
http://codeengn.com/conference/archive

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,015
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

[2014 CodeEngn Conference 10] 조제경 - 너도 나도 다같이 리버싱

  1. 1. 너도 나도 다같이 리버싱!!! IDA 분석 정보를 공유합시다! oroi www.CodeEngn.com 2014 CodeEngn Conference 10
  2. 2. Why? Ø 더럽게 많은 악성코드 !!! Ø 더럽게 어려운 바이너리 !!! Ø 혼자 못해먹겠다 싶을 때 !!!
  3. 3. Why? Ø 분석하다가 퇴근하고 싶은데 !!! Ø 같은 팀이 다 퇴근해서 인수 인계 안될 때 !!! Ø 나도 퇴근 좀 해보자 !!! 팀원 감시??
  4. 4. Concept Function Comment Code IDB분석가 김씨 IDA Pro I D B I D B ü 파일 주고 가라고 !!! ü 버전 안 맞아 !!! ü IDB 파일 너무 커!!! IDB분석가 김씨 IDA Pro 분석가 조씨 분석가 조씨 ü 필요한 함수만 ^-^ ü 버전은 암거나 ^-^ ü 업데이트만 해줘 ^-^
  5. 5. IDA PRO???
  6. 6. IDA PRO Plugins
  7. 7. CodeShare ü GET.PHP : 분석 정보 추출 IDB분석가 김씨 IDA Pro IDA Python ü Alt + F7 : Script Load ü CodeShare.py - GET or SET Reverse Information RCEHUB ü SET.PHP : 분석 정보 저장 ü MOD.PHP : WEB 작업용! [Ctrl+4]This function : DB -> IDB [Ctrl+5]This function : IDB -> DB [Ctrl+6]This function : IDB(raw) -> DB [Ctrl+7]ALL function : DB -> IDB [Ctrl+8]ALL function : IDB -> DB [Ctrl+9]ALL function : IDB(raw) -> DB Function Comment Code
  8. 8. CodeShare [Ctrl+4]This function : DB -> IDB ü 마우스 포인터가 클릭한 위치의 함수 한 개에 대한 MD5 추출 ü 함수 A ü 함수 B Function Comment Code ü Function Name ü Comment ü Offset ü Function MD5
  9. 9. CodeShare [Ctrl+5]This function : IDB -> DB ü 마우스 포인터가 클릭한 위치의 함수 한 개에 대한 MD5, 이름, 주석 정보를 추출 ü 함수 A ü 함수 B Function Comment Code ü Function MD5 ü Function Name ü Comment ü Offset
  10. 10. CodeShare [Ctrl+6]This function : IDB(raw) -> DB ü 마우스 포인터가 클릭한 위치의 함수 한 개에 대한 MD5, 이름, 디스어셈블 코드, 주석 정보를 추출 ü 함수 A ü 함수 B Function Comment Code ü Function MD5 ü Function Name ü Disassemble Code ü Comment ü Offset
  11. 11. CodeShare [Ctrl+7]ALL function : DB -> IDB [Ctrl+8]ALL function : IDB -> DB [Ctrl+9]ALL function : IDB(raw) -> DB ü 함수 A ü 함수 B Function Comment Code ü Function MD5 ü Function Name ü Disassemble Code ü Comment ü Offset ü Function MD5 ü Function Name ü Disassemble Code ü Comment ü Offset
  12. 12. RAW ??? 웹에서 분석 수행 함수 MD5 함수 이름 팀원 감시용으로 쓰지마세요 ㅠ.ㅠ
  13. 13. DEMO
  14. 14. IDA Pro 5.0 이상
  15. 15. Q & A www.CodeEngn.com 2014 CodeEngn Conference 10

×