http://codeengn.com/challenges/malware/08 Problem : The following is the flow graph of a malware Find the address of the function responsible for the propagation(additional infection) of the malware. (Verify your solution in all uppercase) Ex) 00401000 보통 해킹은 한번에 악성 코드를 심어 모든 행위를 끝내고 종료하는게 아니라 단계별로 차근차근 악의적인 행동을 밟아 나갑니다. 웹사이트를 통한 악성 스크립트 실행 후 악성 파일 다운로드, 모바일 apk 설치 및 무선ap 접속을 경유한 방법 등 대부분이 그러한데 ..

http://codeengn.com/challenges/malware/07 Problem : The following is the flow graph of a malware This malware is trying to access a certain site, and reconnects avery "x" ms when it fails. 6번 문제와 같은 플로우입니다. 주기로 볼 수 있는건 Sleep을 위한 96000h밖에 없네요. 답은 10진수인 '614400'입니다.

http://codeengn.com/challenges/malware/06 Problem : The flow graph is the flow code of a malware What is the Thread Mutex of this program Thrad Mutex가 무엇인지 묻고 있습니다. Mutex가 돌아가고 있는 부분을 보면 loc_401950에서 00401966으로 순환되는 로직을 통해 spinlock 방식으로 유지되고 있습니다. 이 부분에서 뮤텍스와 관련된 문자열을 찾아보면 loc_401911에 CreateMutexA가 있고 인자로 smtp_bagla_1000이라는 문자열이 들어갑니다. 답은 smtp_bagla_1000

http://codeengn.com/challenges/malware/05 Problem : This file is a source code of a malware. What does this function do (Answer must be all in lowercase, with no spaces) 전체적으로 buffer값이 어떻게 정해지는지에 따라 그 값으로 고른 Table데이터를 통해 Output을 채우고 있습니다. 76 위치마다 13과 10을 넣고 있고요. 이는 전형적인 Base64 인코딩 방식입니다. 6비트씩 나누어서 base64 table에서 캐릭터를 추출해내고 있으며 76길이가 될 때마다 carriage return을 포함합니다. 답은 base64

http://codeengn.com/challenges/malware/04 Problem : Mr. L is managing a website running on an APM(Apache, PHP, MySQL) environment. The site is currently being attacked by SQL injection. What option should be configured in the PHP config file to stop those attacks. 이번에는 코드가 아니라 시스템 보안의 하나로 SQL Injection에 대한 대비책을 묻고 있네요. 기본적으로 받아들이는 입력값 검증, 치환, 불필요한 UI 제거 등이 있는데 여기서는 APM 환경의 PHP 설정파일에서 해줄 수 있는 옵션을..

http://codeengn.com/challenges/malware/03 Problem : This file is a source code of a malware What does this function do (Answer must be all in lowercase, with no spaces) 함수가 주어지고 무슨 일을 하는지 알아내야합니다. 받아들인 값을 다른 값으로 변환해서 내보냅니다. 인코딩, 암호화 등등이 될 수 있는데 디코딩, 복호화를 하기에는 저 과정에서 소실되는 데이터가 많은 것 같습니다. 매핑되는 값들도 다양하게 나올 수 있을 것 같고...원본 데이터 변환을 통해 얻어낸 값으로 또 생각해 볼 수 있는건 해시, 메시지 인증, 에러 검출(패리티, CRC) 등의 알고리즘이 있겠네요.답은 ..