부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.

Audoit Debugger

HKEY_CLASSES_ROOT\Applications\Python.exe\shell\open\command "C:\Pythonxx\python.exe" "%1" %* %* 추가해주면 됨.

최근 악성코드를 분석하며 많은 한계를 느끼는 부분이 COM Interface 개념과, WMI관련 내용에서 많은 한계를 느끼게 되어 이를 정리하고자 해당 내용을 정리해보고자 합니다. 일단 이번에 정리할 내용은 WMI 입니다. 사실 조금만 자료를 찾아봤지만 WMI가 너무 방대하고( 책한권이 나올정도 ) 사용하는데 있어서도 문법이나 함수 사용을 하는데 기존에 API와 다른 부분이 많아 많이 어색한게 사실입니다. 이를 위해 WMI에 대해 조금 알아보고 사용법정도 정리할 예정입니다. WMI는 윈도우의 서버나 워크스테이션, PC를 관리하기 위핸 메니지먼트 인터페이스( Monikor Object : 크게 보면 Com Interface ) 입니다. WMI는 거의 모든 Windows 리소스를 액세스하고 구성하고 관리하고..

현재 파워쉘 실행 정책 가져오기 Get-ExecutionPolicy 일회성으로 실행 가능한 형태로 파워쉘 실행 powershell.exe -noexit -executionpolicy unrestricted 영구적으로 실행 가능하도록 실행 Set-ExecutionPolicy Unrestricted 영구적으로 실행 불가하도록 실행 ( 기본설정으로 되돌리기 ) Set-ExecutionPolicy Restricted 출처 : https://nasemo.com/archives/1995

$Bytes = [System.Text.Encoding]::Unicode.GetBytes($Text)$EncodedText =[Convert]::ToBase64String($Bytes)$EncodedText

이번장에서 확인할 내용은 PowerShell을 이용한 다운로더 입니다. 파워쉘을 이용하여 다운로드 하는방법으로 최근 악성코드에서 주로 사용하는 방법입니다. 파워쉘에서는 System.Net.WebClinet 클래스를 이용하여 파일을 업로드 할수도 다운로드 할 수 있는 기능을 제공합니다. 간단하게 사용형식을 보면 아래와 같습니다.(New-Object System.Net.WebClient).DownloadFile( URL, Download_File_Path); 해당 명령을 수행하게 되면 URL에 있는 파일을 로컬의 PATH를 지정한 곳에 다운로드를 수행하게 됩니다. URL을 127.0.0.1\test\PEview.exe를 %TEMP% 폴더에 다운로드 할 경우 (New-Object System.Net.WebCl..

금일 확인할 내용은 PowerShell 에서 사용하는 환경변수 입니다. 파워쉘을 실행하고 아래의 명령으로 파워쉘에서 사용가능한 환경변수 리스트를 확인할 수 있으며 PS C:\Users\vmuser> dir Env:\ ================================== 사용가능한 환경 변수 리스트 ============================= Name Value ---- ----- ALLUSERSPROFILE C:\ProgramData APPDATA C:\Users\vmuser\AppData\Roaming CommonProgramFiles C:\Program Files\Common Files CommonProgramFiles(x86) C:\Program Files (x86)\Common ..