https://github.com/huntandhackett/concealed_code_execution/tree/master/Tampering
실행중인 exe파일은 보호를 하기위해 파일이 잠김.
하지만 위 UnlockExe를 빌드에서 사용하면 잠금을 해제할 수 있음.
NTFS 파일 시스템에 파일의 추가적인 정보를 저장할 때 사용되는 영역인 ADS를 악용? 이용하는것
1. ADS에 원본 데이터를 백업
2. 원본 데이터는 삭제
3. ADS에 저장된 원본 데이터를 다시 불러오기
이러한 과정을 거치면 잠김해제 이외의 변화는 없음.
실제로 잘 되나 실험해봄
위 코드는 pid를 입력하고 해당 pid 프로세스의 경로를 가져오고 그 경로에 있는 파일을 r+로 열었을 때 실패하면 잠겨있고, 가능하면 안잠겨있다는 문구가 떠야함.
1. 지뢰찾기를 미리 실행시킨 상태에서 지뢰찾기의 pid를 입력해서 잠겨있다는 문구를 확인
2. unlockexe를 사용해서 지뢰찾기 파일의 잠김을 해제함
3. 다시 pid 입력해서 안 잠겨있다는 문구를 확인
'보안' 카테고리의 다른 글
| process ghosting 탐지 (0) | 2023.09.27 |
|---|---|
| 웹 모바일 취약점 점검 교육 후기? -1 (0) | 2023.03.02 |
| mac os 에서 burp suite 설치 및 실행 (0) | 2023.02.13 |
| 웹해킹) 파일관련 취약점 (0) | 2023.02.11 |
| ISMS-P -1.1.1 (0) | 2023.01.31 |
