http://codeengn.com/challenges/malware/08 Problem : The following is the flow graph of a malware Find the address of the function responsible for the propagation(additional infection) of the malware. (Verify your solution in all uppercase) Ex) 00401000 보통 해킹은 한번에 악성 코드를 심어 모든 행위를 끝내고 종료하는게 아니라 단계별로 차근차근 악의적인 행동을 밟아 나갑니다. 웹사이트를 통한 악성 스크립트 실행 후 악성 파일 다운로드, 모바일 apk 설치 및 무선ap 접속을 경유한 방법 등 대부분이 그러한데 ..

http://codeengn.com/challenges/malware/07 Problem : The following is the flow graph of a malware This malware is trying to access a certain site, and reconnects avery "x" ms when it fails. 6번 문제와 같은 플로우입니다. 주기로 볼 수 있는건 Sleep을 위한 96000h밖에 없네요. 답은 10진수인 '614400'입니다.

http://codeengn.com/challenges/malware/06 Problem : The flow graph is the flow code of a malware What is the Thread Mutex of this program Thrad Mutex가 무엇인지 묻고 있습니다. Mutex가 돌아가고 있는 부분을 보면 loc_401950에서 00401966으로 순환되는 로직을 통해 spinlock 방식으로 유지되고 있습니다. 이 부분에서 뮤텍스와 관련된 문자열을 찾아보면 loc_401911에 CreateMutexA가 있고 인자로 smtp_bagla_1000이라는 문자열이 들어갑니다. 답은 smtp_bagla_1000

http://codeengn.com/challenges/malware/05 Problem : This file is a source code of a malware. What does this function do (Answer must be all in lowercase, with no spaces) 전체적으로 buffer값이 어떻게 정해지는지에 따라 그 값으로 고른 Table데이터를 통해 Output을 채우고 있습니다. 76 위치마다 13과 10을 넣고 있고요. 이는 전형적인 Base64 인코딩 방식입니다. 6비트씩 나누어서 base64 table에서 캐릭터를 추출해내고 있으며 76길이가 될 때마다 carriage return을 포함합니다. 답은 base64

http://codeengn.com/challenges/malware/02 Problem : This file is a source code of a malware. What the target of this malware ex ) ddos (Answer must be all in lowercase, with no spaces) 이번 문제는 공격 대상을 찾는 문제입니다. webserver, web, http, db 등을 해봤지만 정답은 webdav입니다. body에 있는 DAV를 통해 알 수 있었습니다. 좀 더 보면 Malware_L02_shellcode를 szShellBuf에 넣고 body를 szReqBuf에 넣은 다음에 그 이후에 szShellBuf를 복사하는걸 볼 수 있습니다. Malware_L02..

http://codeengn.com/challenges/malware/01 Problem : This file is a source code of a malware. What is the attack method of this malware ex ) ddos (Answer must be all in lowercase, with no spaces) 악성코드 분석 문제로 주어진 소스를 통해 무슨 공격인지 알아내야 합니다. 간단하게 주석을 달아봤습니다. 이 공격은 출발지 ip, port를 속여서 많은 수의 패킷을 보내는 것으로 tcp 프로토콜을 사용한 SYN Flooding으로 볼 수 있습니다. 보통은 하나의 목적 포트를 설정하여 해당 포트로 서비스를 제공하고 있는 것의 방해를 하는데 쓰입니다. 답은 synf..