USB장치를 사용못한다거나 디스크 쓰기가 안되거나
안드로이드 같은 경우는 ADB를 사용하지 못한다거나 문서보안 DRM 등 보안솔루션들이 있는데
이러한 보안솔루션들을 우회하기 위해서는
먼저 어떤 프로세스가 실행되어 차단이 되는건지 또 그 프로세스의 설치 경로는 어딘지 파악하는게 중요하다.
자세한 과정이나 직접적으로 우회하는 사진은 올리지 못하나 대략적인 절차는 기록용으로 남김
프로세스를 찾을 때는 가장 간단하게 작업관리자를 살펴보고
일부러 솔루션 프로그램에 오류를 발생하여 프로세스명을 알아낼 수도 있다.
대부분은 작업관리자에서 찾지못하지만 그래도 제일 간단하니까 한번 봐준다.
OS가 설치되어있는 드라이브 C드라이브같은 곳에서 Program Files나 C드라이브 자체에
숨겨진 항목이 있는지 확인해준다.
그리고 cmd를 열어 ls나 dir 과 같은 명령어로 확인하는 것도 중요하다.
여기서 신기한 점은
dir이나 GUI 형태로 C드라이브를 살펴보면 보이지 않던 디렉터리나 파일이
ls 명령을 사용하면 나타날 때도 있다.
만약 ls를 사용해서 보이는 디렉터리가 있다면 그 디렉터리가 솔루션과 관련되어있을 확률이 매우 높을 것이다.
만약 프로세스명이 뭔지 알고 있는 상황이라면 "Everything" 프로그램을 사용하는 것도 좋다.
에브리띵은 숨겨져있든 말든 다 찾아주고 경로까지 알려준다.
https://www.voidtools.com/ko-kr/support/everything/installing_everything/
Installing Everything - voidtools
Everything 설치하기 Everything 설치해서 쓸 수도 있고 그냥 실행해서 쓸 수도 있습니다. 두 버전 모두 다운로드 페이지에서 찾을 수 있습니다. 무슨 버전을 받아야 하나요? 버전설명 설치파일설치 버
www.voidtools.com
그리고 윈도우 로그도 확인하면 좋은데 이 때 사용하면 좋은 프로그램이 "WSCC"
KLS SOFT - WSCC - Windows System Control Center
www.kls-soft.com
WSCC엔 윈도우와 관련된 정말 다양한 모듈들이 많다.
그중 LastActivitiview , RecentFilesVew , ExecutedProgramsList , WinPrefetchView 등과 같은 모듈들은
실행되는 프로세스들을 분석하는데 용이해서 솔루션 프로세스를 찾는데 많이 도움된다.
process monitor 또한 프로세스 파악할 때 정말 좋은 프로그램이다
이런 방법들을 동원해서 프로세스를 찾았다면
IDA로 분석 후 코드 변조나 프로그램 자체를 변조하는 방식으로 우회가 가능하다.
'기타' 카테고리의 다른 글
| [Tip] VPN을 이용한 IP 변조와 Proxy 패킷 캡처 (0) | 2022.06.17 |
|---|---|
| [Tip] ANSI escape code를 사용하여 쉘 프롬포트(Frida Console log) 콘솔 로그 색상 변경 (1) | 2022.06.13 |
| [Tip] MS Word 이미지 및 그림 VBA 매크로를 이용하여 정렬과 사이즈 수정 (0) | 2022.05.26 |
| [Tip] Windows 실시간 보호 완전히 끄기 (0) | 2022.05.09 |