ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

그러고 보니 그렇쿤....

한 동안 내 책상이 너무 지저분해서 다른곳으로 피신해서 작업을 하고 있었음

소니 바이오 노트북 오류로 데이터 복구를 하는 동안

메인 시스템과 내 원래의 자리를 다시 정리해서 작업을 열심히 하기 위한 환경으로 컴백.




항상 유지 잘해야지...

해킹 보안 책 "와우스토리 리뷰 섹션#1"

우연히 사무실에 앉아있다가 옆에 있던 "와우스토리" 라는 책이 손에 잡힌다.

물론 내가 이 책에 대해서 리뷰를 쓰는 것이 좀 그럴지 모르겠지만, 일단 난 저자가 아니기때문에

리뷰를 써보려고 한다.

우선 책은 처음 접할때 디자인이 중요한것 같은데, 디자인이 정말로 괜찮다.

와우해커 디자이너가 직접 디자인 하였는데, 일부 전문성은 조금 떨어저보이긴 하지만

디자인은 흡족하다.  표지는 http://book.sessak.com 사이트에 가면 메인에서 바로 볼수있다.

기분 좋게 책을 볼수가 있다.

또한, 목차 링크도 메인에 있다. 목차링크

표지를 보면

홍동철, 윤석언, 임병준, 신우성, 이호진, 권지연, 황성현, 박찬암, 정종강, 한승훈, 박재홍

이 와우스토리에 각 섹션 별로 내용을 넣은 글쓴이들이다.

와우해커는 멤버의 인원수가 많다 보니, 한 명씩 조금만 써도 한  권의 책이 되어버린다.

하지만 책이란것이 얼마나 쓰기 어렵고 제작 하기 어려운지 그들도 잘 알것이다.

벌써 두번째 와우스토리가 기다려진다. 두번째는 나도 한 꼭지를 맡아볼까?

종이의 질감도 상당히 좋다. 고급 재료로만 선정해서 골라서 책넘김도 좋고 오래 써도 뜯어지지

않을것 같다.


본 내용으로 들어가서

첫번째 내용

BHO

BHO는 Browser Help Object 라고 쉽게 생각할때 요즘 흔히 설치되는 보이지않는

툴바 정도로 보면 이해가 쉬울수가 있다.

이 BHO에 대해서 어떻게 구성이 되고 어떻게 탐지를 할수가 있고, 어떻게 제작이 되는지를

알아볼수있으므로 초보자부터 이런부분을 접해보지 못한 전문가들도 도움이 많이 되는 내용이다.

한편으론, 악성툴바나 광고용툴바를 제작하는 사람들 보고 회피나 혹은 제작에 참고는 하지 않을까

하는 의심도 생긴다. 책에 있는 설명을 보면 바로 이해가 쉬울것으로 판단된다.



악성코드 인코딩 디코딩

요즘 악성코드들중 웹을 통해서 전파 설치되는 악성코드들이 있다.

이런 악성코드들은 광고툴, 애드웨어라고도 한다. 앞에서 다룬 툴바의 설치, 시작페이지 변경등

자신들이 원하는 작업을 수행하기 위하여 많은 사람들이 억세스 할수있는 웹을 통해서 전파를 많이

시킨다. 주로 웹에 취약점을 통해서 전파가 되는데

백신이나 기타 보안 솔루션들에 노출이 되면 생명이 길지않기 때문에 주로 인코딩을 하여 눈으로

쉽게 코드를 읽지 못하도록 한다.

백신이나 바이러스 수집가들도 많은 요즘 현실에, 이러한 내용을 참고하면 분석에 있어서 많은

도움이 된다고 생각한다.

주로 많이 사용되는 unescape나 \ 인코딩으로 8진수나 16진수로 인코딩을 하는 내용부터

Script Encoder나 US-ASCII까지 다양한 내용들을 포함하고있다.

초보자들이 자기 자신의 컴퓨터에 의심이 되는 파일의 분석이나 안티바이러스 분야로 진출하기위하여

공부하기 위한 좋은 과목이다.

역시 초보자 부터 중급자까지 볼수있는 좋은 내용이다.



WHS, VBS를 이용한 악성코드

위 인코딩과 관련이 되는 내용으로 WHS나 VBS로 제작된 악성코드의 내용을 숨기기 위해서

인코딩을 사용하는데, 이번 장은 WHS나 VBS를 이용한 악성코드에 관한 내용응로

역시 안티바이러스 분석이나 자신의 시스템을 보호하기 위하여 기법을 알아두면 좋은 내용이다.

한편으로 요즘은 많이 차단이되거나 막히지만 이런 내용으로 악성코드를 제작함에 사용하지는

않나 하는 생각도 든다. 어디까지나 제작자의 의도가 나쁘지만 않는다면 좋은 용도로 사용하는

내용인데 악의가 조금이라도 생긴다면 바로 악성코드로 분류가 될 수 있다.

다양한 명령문으로

악성코드의 주요 포인트인 특정 파일을 시스템으로 내려서 그 파일을 실행 혹은 자기복제를

하여 원하는 목적을 달성하는 내용이다. 이에 대한 분석으로 해당 기술을 참고하여 자신의 시스템

보호나 컴퓨터를 사용할때 악성코드들이 어떻게 내 시스템에 설치가 나도 모르게 되는지 이해를

할 수가 있는 대목이다.

섹션1은 주로 악성코드나 불법 소프트웨어들이 사용하는 기법이나 기술에 관하여 이해를 하고
그에 따른 스스로의 대응이나 방어 방법을 이해할수있는 대목으로 판단이 되며, 꼭 그쪽이
아니더라도 시스템 분석에 아주 큰 도움이 되는 섹션같다.
"초보자~중고급자" 까지 커버가 가능할 듯 싶다.

다음 시간에 섹션 #2에 대한 리뷰 를 하도록 하겠다.

와우스토리는

홍테크에서 판매를 대행하고 있으며, http://book.sessak.com 에서 온라인 구매를 할 수가 있다.



와우스토리는 고급 내용을 담고 있지만, 초보자 부터 고급자까지 모두 볼 수있는 내용으로 다양한 내용을
다루는 와우해커 자체 출판으로 "한정판" 서적이다. 수익을 목적으로 하는 책이 아닌 일부 수익금을 이벤트나
두번째 와우스토리 제작을 위해서 사용을 위하여 판매되는 서적입니다.


제작 : 와우해커 (http://www.wowhacker.org)
판매 후원 : HONGTECH (http://book.sessak.com)

와우스토리 설명 페이지 : http://wowhacker.com/wowstory/153877

나는 불쾌한 "해보고광고" 라는 프로그램(애드웨어)

오늘 우연히 발견한 내컴퓨터에 설치된 해보고 광고 라는 프로그램

네이버 옆에 갑자기 안보이던 광고가 보이는데, 해보고 광고 라고 글씨가 써있었다

난 저런거 설치한적이 없는데... 갑자기 보인다.

클릭을 하니

http://www.hebogo.com/slink/loc.asp?site=http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

로 갔다가

http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

여기로 이동이 된다.

웨딩라인이라는 해당업체에서 광고의뢰를 해서 해보고 광고라는 것으로 해서
네이버 메인에 노출이 되었다. 마치 네이버에서 광고를 하는 것 처럼 말이다.

기분이 몹시 나쁘다.

네이버와 협력제휴를 한건 아닌것 같은데....

해당 사이트는 http://www.hebogo.com/ <클릭은 안하셔도됨> 이다.

홈페이지를 보니, 플레티늄 광고 라는 메뉴에 저 내용이 있더라

"포털사이트에서 광고하는것 처럼 색다른 광고" 라고 이야기를 하고 있다.

하지만, 매우 몹시 기분이 불쾌하다. 나는 원하지 않는데.. 왜 저것이 갑자기 보이는건가

프로세스 정보를 보니


평상시 보이지 않던 부분이 보이더라

물론 나는 설치한적이 없다. 설치할 일도 없을뿐더러

역시 기분이 몹시 나쁘다.

물론 새싹에 패턴으로 Adware로 등록을 하겠지만

해당 파일의 이미지 정보를 보니

C:\Program Files\Micronames\MicronamesP.exe

여기에 설치가 되어져있다.

파일이 총 3개가 있고, 언인스톨러를 포함한다. 법적인 규제를 회피하기 위해서

언인스톨러는 넣어둔것 같다.


프로세스상에 올라온 파일을 디버거로 잠시 보니

Text strings referenced in Micronam:.text, item 1504
 Address=004162ED
 Disassembly=MOV EDX,Micronam.00407504
 Text string=UNICODE "http://www.naver.com"
등과 같이 웹주소가 naver.com 일때 이용하기 위한 naver.com 주소가 있고

대략 어떠한 내용인지 한눈에 좀 보기 쉽도록, 디버거로 스트링관련된 내용만좀
살펴보니, 역시 이놈이 내가 웹브라우저를 사용할때 웹주소 url이
naver.com나 MS와 같은 포털 사이트 일경우, 자신들의 광고로 메인페이지 옆에
교묘하게 위치하게한다.


디버거로 본 해당 프로그램의 string 값들

그리고 보다보니

포털사이트에 대한 광고 프로그램으로 동작하기 위한 내용들이 있다.
UNICODE "/config/formactive.asp?u_id="
UNICODE "&url="
UNICODE "&keyword="
UNICODE "&keyno="
UNICODE "&admin="
UNICODE "&Click=N"
UNICODE "&user_id="
UNICODE "&gubun=PORTAL"

같은 사이트로 이동이 되지만, www.goldentech.co.kr 이라는 주소도 눈에 띤다

또한, 메세지후킹에 대한 부분도 있는데, 사용하는 메세지 플래그는

WH_MSGFILTER, WH_MOUSE, WH_KEYBOARD 3가지로

각각의 내용들은 아래와 같다.
1. WH_MSGFILTER는
특정 어플리케이션에서 만들어낸것들에 대해서 메뉴, 스크롤 바, 메시지 박스, 대화상자 등에 의해 처리되는 메시지와 사용자의 Alt+Tab키, Alt+Esc키 입력에 의한 포커스 이동도 감시하는 것

2. WH_MOUSE는
마우스 메시지를 감시하는 것

3. WH_KEYBOARD는
WM_KEYDOWN, WM_KEYUP 등의 키보드 메시지를 감시하는 것

참고로, 사용자의 아이디와 패스워드등도 가로채가는 일반적인 단순 키로거들에서도
사용되는 메세지플래그들이다.

하는 내용을 대충 일반 사용자가 알기 쉽게 표현한다면,

컴퓨터 주인인 사용자가 키보드로 입력하는 내용을 이놈의 프로그램 중간에서 가로채
가서 그 내용을 변조하고, 마우스 포인트 이동등에 대한 부분도 이놈의 프로그램이
맘대로 하면서, 현재 어디에 위치해있는가 정보도 알고 클릭같은것도 맘대로 하며
윈도우에서 사용되는 메뉴나 메세지 상자 및 각종 메뉴등에서 발생하는 모든 내용(사용자에 의해서 입력된 이벤트등)을 포함하여 지맘대로 변조가 가능한 것이다.

참고로 일부 보안 프로그램등에서도 위와 같은 메시지 후킹 플래그들도 사용하지만
게임아이디나 패스워드등을 가로채가는 키로깅 프로그램에서 특히 많이 보인다.

대략적으로 간단히 정리를 한다면

이 프로그램이 설치되고 사용자가 네이버주소를 치고 들어가면 해당 웹 페이지의
html 을 미리 분석해놓은 데이터를 기반으로 네이버 사이드에 위치한 광고부분에
자신들의 광고를 위치하고, 또는 메인 한가운데에 위치하는 광고등을 내보내는
방식이다. 아이디어는 상당히 좋아보인다 ㅎㅎ 나름 사용자를 배려한다고 한것이
알트탭으로 다른 창으로 전환시에는 해당 광고는 사라짐 ~
네이버에 광고비를 지불하지 않고 좀더 저렴한 비용으로 네이버에 광고하는 효과를
낼수있으니 광고주들의 입장으로썬 많이 이용할법도 하다.

하지만, 내가 어떤 경로로 설치가 되었는지 모르겠지만, 난 상당히 불편하며
프로그램을 삭제할 예정이지만 이런 프로그램을 사용자가 원해서 일부러 설치
할 이유는 없어보이며(툴바와 같이 도움이되는 부분이라면 모를까) 순수 광고모듈
이라면 일부러 애써 리소스를 잡아가며 설치 할 이유는 없다

어쨋든 어떤경로로든 설치가 강제로 되었던 것이고, 내가 웹서핑을 할 때 눈에
상당히 거슬렸다는 것이 다른 사람들에게도 문제가 되지 않았을까 싶다.

광고 방식이나 아이디어는 상당히 좋아보인다. 하지만 먼가 다른 방식으로 동의를
받고 설치를 했었으면 어떠했을가 싶다.

참고로 "해보고광고"를 하고있는 "마이크로네임즈" 라는 회사에 대한 악감정은 전혀 없으며, 의도적으로 비방할 생각은 없다. 광고와 마켓팅을 하는 회사로서 수단과 방법을 안가리고, 자신들의 마케팅 방법으로 광고하는건 자유이지만, 나는 원하지 않고 불편하므로 매우 불쾌하여 이런 포스팅을 남겨 봅니다.

통합 엔진 검사 사이트인 바이러스 스캔을 통해서 해당 파일을 알아 본 결과는

구체적으론 아니지만, 나름 의심들은 하고있는 파일인가 보다
국내에서 많이 사용하는 엔진들은 진단을 하지 못하고 있다.

자랑은 아니고 당연한 이야기 이지만 새싹 안티바이러스는 진단을 당연히 하겠지요?
왜냐하면 포스팅하기 하루전인 어제 패턴을 등록을 하였기 때문, 현재 사용자 업데이트는
서버 이전 관계로 아직 안함, 진단명은 Win32-Adware.hebogo 해보고

업데이트 서버 이전 완료 후 적용될 예정임, 혹은 마지막 베타인 Beta3 때부터 들어갈수도
있고

윽, 잠시 포스팅중 메일을 보기위해서 네이버 접속을 했건만..

가운데 보이는 해당프로그램을 통한 광고..ㅜㅜ


네이버에서 저런 광고를 하던가? 물론 아니다. 난 저 광고 대신 뉴스 요약을 보고싶다.
물론 위 광고는 계속 나오는 것이 아니고 우측 상단에 나오는 광고가 안 나올때 가운데
부분이 나오며, 약 5초간 노출이 되고 사라지더라

아직, 삭제를 하지 않았지만, 어느 순간부터 컴퓨터 종료시 멈춤 현상이 있었는데,
이것을 삭제하고 만약 멈춤 현상이 없어지면 그 내용을 업데이트 하도록 하겠다.

두통때문에 잠이 안와서 새벽에 컴퓨터 하다가 어쩌다보니 이렇게 포스팅을 하였는데
포스팅을 하고 나니 두통이 없어져서 너무나 좋군요, 에헤라디히야~

프로세스상에서 해보고광고를 지운 후로 아주 깔끔한 네이버를 즐길수 있으며
편안한 나의 웹브라우져!!

저옆에 보라색 카메라는 원래 네이버에서 광고하는 것임 ㅎㅎ

참고) 해보고에서 제공하는 삭제 프로그램

혹은 프로그램 추가/삭제 메뉴에서도 볼수있음 <삭제를 원한다면>

스스로 기억하기 위한 스스로에 대한 글
--------------------------------------------------
정말로 오늘은 중요한 날이며, 숨막히는 날이 될 것 같다.

지금 워밍업중이며,,,

아침 식사 후 조낸 뛸것임!!!

심장이 터지도록,, 아니 심장이 터져야 한다!

심장이 터지도록 뛰는 하루...

블로거 영화제에서 잠시 휴식을 취할 예정이지만, 하루종일 열심히 뛰지 않으면

안되는 하루기 때문에...

3일간의 밀린 일들을 위해서 달려야한다.

오픈 아이디를 쓴지 어언.. 두달째.

난 굉장히 편하고 좋다. 정말로 편하다.

이번에 우리 사이트도 오픈아이디화 했는데, 나만의 생각으로는 오픈아이디

처음에만 거부감이 있지 막상 써보면 굉장히 편하다는것을 알수있는데

일반인들은 아직 비호감인가?

그부분에 대해서 어떤지 참 알고싶고 궁금하다.

일단

일반적인 아이디는 abcdefg

와 같은 형태로 자신이 자주 사용하는 말그대로의 아이디이다.

오픈 아이디는 myid.net 의 경우

abcdefg.myid.net 이다.

그냥 아이디를 저 것으로만 넣어주면 되는데...

매번 사이트 방문 시 잠시 글하나 보려고? 가입을 한다.

그사이트 들어 가려다가 만다.

물론 계정 자체가 없는 사이트? 볼 수는 있지만 관리도 안된다.

오픈아이디 사용시

이미 처음에 한번만 가입해놓은 정보로 오픈 아이디를 사용하여

이곳 저곳 다닐 수 있다.

이번에 만드는 사이트 또한 오픈아이디로 만들었는데, 많은 사람들이

사용 했으면 하는 생각인데, 거부감이 우선으로 들지 여부에 대해서

좀 생각 좀 해봐야겠다.


나의 생각)
오픈 아이디 처음 가입하고, 내 오픈 아이디를 알 수가 없었다.
turbo.openid.net 이던가? 머드라 이런 생각을 했었던...

원래는 turbo.myid.net 이것이 주소가 되는 것이다.

조금 더 쉽고 자유로운 오픈 아이디 주소 체계가 되었으면 하는 바램이다.

http://www.myid.net/ 

오픈아이디 생성하는 곳

홍테크 새싹 안티 바이러스 (SAV)
beta 2.5 배포중입니다.

아래 클릭하시면 바로 다운로드가 가능합니다.

절대적으로 무료이며, 윈도우 비스타까지 지원합니다.

 위 버튼 클릭 후 실행 버튼 클릭하시면 설치 프로그램이 실행

혹시 의심이 되서 이곳에서 다운로드가 불안하신다면

http://www.sessak.com 의 메인페이지 이용

베타사용자 1000명 모집중 32명남음.. 실제로 베타신청없이 다운로드 사용하는
사람들까지 하면 훨씬 더많은 수치이지만,,

32명 선착순 모집..

어서 1000명 채워버리고 메인페이지 리뉴얼 합시다!! ;)

http://www.sessak.com 입니다.

어렸을때 부터 친한친구이자, 함께 컴퓨터를 해온 동반자인

이근상군(Okstart) 과 간만에 조우를 했습니다.

OKSTART 군을 소개하자면, 현재 Apmsetup.com 을 만들고 운영하고 있는
친구입니다.

고등학교때 Shareware Killer(쉐어웨어킬러팀) 라는 팀을 만들어서
대한민국 리버서, 리버싱 계를 함께 시작해고오고 평정해와 리버싱계의
전설을 만들었 었지요,  ~그러고 보니 나도 한때는.. 리버싱쪽이었내요 ;)

암튼 그 뒤로 ampm 편의점하시는분이 지금 오픈리버스포럼이라든가 많은 후배들이

활동들을 해주시고 계시는데.... 체계바라 님이나 스카이님등..woolee 형이나

그런 이야기들도좀하고..

학교다닐때부터의 일들과 현재의 사는이야기등..

정말로 요근래 경험하기 힘든 친구와의 만남이었습니다.

살아오면서, 사회친구는 그 누구보다도 많은데, 학창시절 친구는 많이

만나지 못하는 현실이.. 나도 어느새 사회적으로 물들었나 하는 생각을

하게되었습니다.

친구와 식사를 할 때 그 어떤 음식이던, 가격이 어떻던 하나도 아깝지 않고

마구 더 퍼주고 싶습니다.

이번에 런칭할 새싹(sessak.com) 에도 많은 도움을 줄 친구이지만,

그것 이전에 근상이와 저는 친한 친구일뿐입니다.

인생을 함께 살며 같이 늙어가는....



친구와 친구 와이프를 대전으로 보내고, 집에와서 생각에 잠겨 포스팅을 또한번

해봅니다.