simsimi

1081322 simsimi 44279 2008-08-04T02:30:14Z http://somma.springnote.com/pages/1081322 2008-04-17T01:11:36Z <div id="toc" style="border: 1px solid tan; padding: 2px 10px 0px; background-color: rgb(255, 255, 250);"><strong>목차</strong> <hr /> <ol> <li><a href="#toc_0" class="external" title="toc_0"> 심심이 소개</a></li> <li><a href="#toc_1" class="external" title="toc_1">모듈 구성</a> <ol> <li><a href="#toc_2" class="external" title="toc_2">Spider</a></li> <li><a href="#toc_3" class="external" title="toc_3">PlgnPE</a></li> <li><a href="#toc_4" class="external" title="toc_4">SPDisas</a></li> <li><a href="#toc_5" class="external" title="toc_5">SPDriver</a></li> <li><a href="#toc_6" class="external" title="toc_6">SPDriverLoader</a></li> <li><a href="#toc_7" class="external" title="toc_7">SPInjector</a></li> <li><a href="#toc_8" class="external" title="toc_8">SPSymbol</a></li> </ol> </li> </ol> </div> <p> </p> <p> </p> <h1> 심심이 소개<sup class="tocAnchorContainer"><a href="#toc_0" class="anchor" title="toc_0" id="toc_0" >#</a></sup></h1> <p>심심이는 Windows system 을 살펴보기 위한 툴입니다.</p> <p>Sysinternals 의 Process explorer 는 두말 할 필요없이 Windows system 을 살펴보기 위한 최고의 툴이지만 사용하기에 몇 가지 불편한 점들이 있어 직접 만들게 되었습니다.</p> <p>심심할때 개인적인 필요에 의해서 만들기 시작한 프로젝트여서 '심심이' 라는 이름을 가지게 되었습니다. :-)</p> <p> </p> <p>심심이는</p> <ul> <li>실행 중인 프로세스의 목록 및 프로세스의 세부 정보</li> <li>IDT (Interrupt Descriptor Table) 보여주기</li> <li>커널 메모리 읽기 / 쓰기</li> <li>user mode module (dll, exe, etc.) 의 변경 사항 추적 및 복원 (user mode api hooking 탐지 / 복원)</li> <li> <p>kernel mode module (sys, ntoskrnl.exe, etc) 의 변경 사항 추적 및 복원 (kernel mode api hooking 탐지 / 복원)</p> <p>등의 기능이 있습니다.</p> </li> </ul> <p> </p> <p>부가적으로</p> <ul> <li>향상된 disassembler 를 제공하며 (disassembler 엔진을 사용할 수 있게 해주신 matt conover 씨께 감사를 드립니다)</li> <li>Windows debugging symbol 을 지원해서 좀 더 편한 분석환경을 제공합니다.</li> </ul> <p> </p> <p>앞으로 어떤 기능들이 추가 될 지는 아직 미정입니다.</p> <p>필요하다 생각되면.. 만들면 되니까요 ^^</p> <p> </p> <p> </p> <h1>모듈 구성<sup class="tocAnchorContainer"><a href="#toc_1" class="anchor" title="toc_1" id="toc_1" >#</a></sup></h1> <h2>Spider<sup class="tocAnchorContainer"><a href="#toc_2" class="anchor" title="toc_2" id="toc_2" >#</a></sup></h2> <p style="margin-left: 2em;">각 엔진을 호출하는 GUI 모듈</p> <p> </p> <h2>PlgnPE<sup class="tocAnchorContainer"><a href="#toc_3" class="anchor" title="toc_3" id="toc_3" >#</a></sup></h2> <p style="margin-left: 2em;">실행파일의 구조를 분석하기 위한 플러그인 파일</p> <ul> <li> <p style="margin-left: 2em;">PE 헤더 구조 분석 (헤더, IAT, EAT, etc)</p> </li> <li> <p style="margin-left: 2em;">유저모드 프로세스 메모리 덤프</p> </li> <li> <p style="margin-left: 2em;">Borland 계열 링커 처럼 INT (Import Name Table) 이 뭉개져 있는 경우에도 IAT, EAT 분석 가능 (오오~~~ nice !~)</p> </li> <li> <p style="margin-left: 2em;">디스크상의 PE 이미지와 메모리상의 PE 이미지 모두 분석 가능</p> </li> <li> <p style="margin-left: 2em;">Base relocation 자동 지원 ( cool ~ )</p> </li> <li> <p style="margin-left: 2em;">etc...</p> </li> </ul> <p> </p> <h2>SPDisas<sup class="tocAnchorContainer"><a href="#toc_4" class="anchor" title="toc_4" id="toc_4" >#</a></sup></h2> <p style="margin-left: 2em;">디스어셈블러 엔진</p> <ul> <li> <p style="margin-left: 2em;">디스어셈블러 코어는 matt conover 씨의 x64 dis 엔진( <a href="http://mconover.openrce.org/">http://mconover.openrce.org/</a> )</p> <p style="margin-left: 2em;">(소스코드를 제공 해 주고, 사용을 허가 해 준  matt conover 씨에게 감사드립니다.)</p> </li> <li> <p style="margin-left: 2em;"> x64dis 엔진을 C++ 로 래핑하고, 범용적으로 사용가능한 dll 로 모듈화 시킴</p> </li> <li> <p style="margin-left: 2em;">debugging symbol engine 내장 (SPSymbol.dll)</p> </li> </ul> <p style="margin-left: 2em;"> </p> <h2>SPDriver<sup class="tocAnchorContainer"><a href="#toc_5" class="anchor" title="toc_5" id="toc_5" >#</a></sup></h2> <p style="margin-left: 2em;">커널 모드 드라이버</p> <ul> <li> <p style="margin-left: 2em;">응용프로그램 레벨에서 접근 불가능한 모든 처리</p> </li> </ul> <p> </p> <h2>SPDriverLoader<sup class="tocAnchorContainer"><a href="#toc_6" class="anchor" title="toc_6" id="toc_6" >#</a></sup></h2> <p style="margin-left: 2em;">SPDriver 를 커널에 로드하고, 드라이버와 통신을 위한 모듈</p> <ul> <li> <p style="margin-left: 2em;">여러개의 드라이버를 로드할 수 있으며 각각의 드라이버 인스턴스를 관리</p> </li> <li> <p style="margin-left: 2em;">user mode process 가 비 정상 종료되어도 로드한 드라이버의 언로드를 확실히 보장 (cool ~~~ )</p> <p style="margin-left: 2em;"> </p> </li> </ul> <h2>SPInjector<sup class="tocAnchorContainer"><a href="#toc_7" class="anchor" title="toc_7" id="toc_7" >#</a></sup></h2> <p style="margin-left: 2em;">유저모드 dll injection 프레임 워크</p> <ul> <li> <p style="margin-left: 2em;">injection 된 dll 과의 통신 채널 유지 가능<span class="xquared_marker" id="xquared_marker_0"></span></p> </li> <li> <p style="margin-left: 2em;">Plugin 인터페이스를 지원</p> </li> <li> <p style="margin-left: 2em;">injection 후 injection 한 dll 과 통신을 주고 받을 수 있으며 injection 된 dll 의 메소드 호출이 가능</p> </li> </ul> <p style="margin-left: 2em;"> </p> <h2>SPSymbol<sup class="tocAnchorContainer"><a href="#toc_8" class="anchor" title="toc_8" id="toc_8" >#</a></sup></h2> <p style="margin-left: 2em;">Microsoft debugging symbol support library that embeded in SPDisas</p> <p> </p> <h1>스크린 샷</h1> <p> </p> <p><span class="xquared_marker" id="xquared_marker_0"></span></p> <h1>TODO</h1> <h2>공통</h2> <ul> <li> <p>함수 단위 덤프</p> <ul> <li>Base Address 유지 (로드된 기준 주소등의 이미지 정보 및 심볼 정보 포함)</li> <li>Image 단위로 덤프하기 보단 함수단위 덤프가 분석에 유용할 듯</li> </ul> </li> </ul> <p> </p> <h2>RING0</h2> <p> </p> <h2>RING3</h2> <p> </p> <p><span class="xquared_marker" id="xquared_marker_0"></span></p> <p><span class="xquared_marker" id="xquared_marker_0"></span></p> <p><span class="xquared_marker" id="xquared_marker_0"><span class="xquared_marker" id="xquared_marker_0"></span></span></p> by-nc-sa http://somma.myid.net/ http://somma.myid.net/ 88