본문 바로가기

REVERSING

(16)
Shinhan S Bank / JB Detection Bypass Shinhan S Bank 5.1.0 5.1.0(2016.07.12) bypass the jailbreak detectiontested on iOS 9.3.3, iPhone SE, Pangu 9.3.3 JB v1.0 (semi-untethered); Flex 3 Beta. Target Class : SHBAppInfoTarget Method : callCustomeAlertjust pass-throughNOT TESTED FOR FULLY-FUNCTIONAL.MAY CAUSE SIDE-EFFECTS.
winnetplus.exe winnetplus.exe는 여러 웹하드 프로그램(필자가 쓰는 사이트는 파일노리이다. http://filenori.com)이 사용하는 일종의 그리드이다. 명목상으로는 유저간의 컴퓨터 리소스 공유이지만 전혀 필요하지 않는 파일도 ACCESS를 시도한다. Procmon으로 살펴보니 상관없는 개인적인 파일들을 access한다. 또한 HKLM\SOFTWARE\Wow6432Node\FILESERVICE 의 레지스트리에 위와같은 내용들을 쓰기/읽기를 한다. 삭제하는법은 간단하다 WinnetPlusService 서비스를 중지하고, winnetplus.exe 프로세스를 종료한 후, winnetplus.exe를 삭제하면 된다. 간단하게 삭제와, 설치 방지 프로그램을 만들었다. .Net Framework 3.5이상만 있으..
Themida Unpacking 관련 문서 여기저기 돌아다니면서 받음 Themida 언팩킹관련 문서입니다... 출저가 모두 기억안나나 대부분 tuts4you이며동영상이 들어있는 파일들은 용량관계상 업로드하지 못하였습니다.
[Patch]네이버 소프트웨어 광고,툴바,클리너 제거 # Naver Software Patcher 네이버 소프트웨어 다운로더가 자동으로 설치하는 것을 방지합니다. 추가로 광고를 제거합니다. 패치대상 : NFileDownloader.exe 기본위치 : C:\Users\Administrator\AppData\Roaming\NAVER\FileDownloader date : 20131213 by devflow 닷넷프레임워크 3.5이상 필요. p.s. PatcheR에서 R이 왜 대문자냐면.. 오타다
간단한 API 후킹으로 현재 작업 숨기기 제목은 거창하지만 간단하게 GetForegroundWindow()를 언제나 NULL로 반환하게 바꾸어주는 dll 과 exe입니다. 즉, 현재 맨앞의 윈도우의 핸들값을 NULL로 돌려주어 뭘 하는지 숨기는 기능(?)입니다. hook_getfore.dll - GetForegroundWindow 의 후킹에 관한 dll 파일입니다.injector.exe - 간단하게 dll을 injection 하는 실행파일입니다. 사용법은 injector.exe [인젝션대상exe] [인잭션할dll파일] 입니다. ex) injector.exe bitclt.exe hook_getfore.dll 모든 파일은 VC++ 2012로 작성되었습니다.
.net(C#, vb)으로 작성된 exe 디컴파일 보호하기 [사진1- 필자의 프로그램인 2012/05/30 - [유용한 자료] - XML 자동 업로더기 XmLeader v1.0를 reflector로 디컴파일 한결과 소스가 전부 그대로 나와버린다.) .net의 특성상, reflector로 exe를 열면 소스코드가 그대로 나오는 대참사가 발생한다.ㅜ이를 방지하기 위하여 많은 방법이 있는데 그 방법을 소개하기로 한다. 1. 프로그래머의 노력(?) - 말 그대로 노력이다. 그것은 바로 최대한 디컴파일 후 해커가 알아보기 어렵도록 소스를 작성한다던가. 그런 종류의 일이다. - 근데 이건 좀 너무하는것 같다. 2. CryptoObfuscator 의 이용. (사진2. Crypto Obfuscator for .Net v2011의 메인화면) - 위와 같이 생긴 툴이다. 엄청난 ..
리그 오브 레전드 (League of Legends) 취약점 (Exploit) 조금 시대가 많이 지났긴하지만 여전히 인기가많은 게임인 리그 오브 레전드의 취약점을 알아보겠다. 특이하게 리오레는 adobe air를 이용하여 서버와 통신을 하게 되면 inet 과같은 IE 설정을 그대로 사용하게 된다. 이를 이용하여 IE에서 프록시를 설정해주고, 로그인할 때 Paros로 Trap 하면 아래와 같은 내용이 나온다. POST https://검열 HTTP/1.1Referer: app:/LolClient.swf/[[DYNAMIC]]/8Accept: text/xml, application/xml, application/xhtml+xml, text/html;q=0.9, text/plain;q=0.8, text/css, image/png, image/jpeg, image/gif;q=0.8, appl..
com.android.vending.check_license 마켓종료 -> 실행 ????