Monthly Archive for 2월, 2010

!running -i -t … 어찌 분석해야하지 …

Published
by
admin
on 2월 23, 2010
in Private
. Comments

머리가 예전 같지 않아 잘 안돌아 가는거 같습니다. 한 2달 쉬었더니 완전 굳어버린거 같다는 생각이 ..
간혼 !running -i -t를 통해서 강제 덤프를 열어 보면 실제 CPU를 선점하고 있는 놈을 찾을 때가 있습니다. 꽤나 유용하죠 . ( 보통은 idle이 선점을 하고 있다는 .. ^^ ) 근데 2개의 CPU 모두를 선점하는 process가 나오는 경우도 있군요.대략 희귀한 경우라 올려보니다.

근데 이넘은 어떻게 분석해야할까요 ??
제약 사항
 1. 심볼 없음
 2. Pack 되어 있는 부분( Virtualize )이 있어서 리버싱이 오래걸림

이럴때는 그냥 웃지요 …ㅎㅎㅎ

낼은 덤프를 여러개 떠서 좀더 다양하게 확인해 봐야겠내요 ..

1: kd> !running -i -t

System Processors 3 (affinity mask)
  Idle Processors 0

Prcbs  Current   Next   
  0    ffdff120  88a2c4e8            …………….

ChildEBP RetAddr 
WARNING: Stack unwind information not available. Following frames may be wrong.
b4845478 b34a05a9 xxxx+0×1214d
b4845494 b34a0731 xxxx+0×15a9
b48454c8 b34a3aab xxxx+0×1731
b48454fc b34a3bcc xxxx+0×4aab
b4845590 b466df70 xxxx+0×4bcc
b48455ac 804e33eb UDSecDrvXP+0×1f70
b48455bc b468d22e nt!IopfCallDriver+0×31
b4845608 b468f6f1 mfehidk+0×522e
b484569c b469d367 mfehidk+0×76f1
b48456ac b469d3b7 mfehidk+0×15367
b48456d4 804e33eb mfehidk!DEVICEDISPATCH::DispatchPassThrough+0×48
b48456e4 8057dbed nt!IopfCallDriver+0×31
b48457c4 8056f03b nt!IopParseDevice+0xa12
b484583c 80572358 nt!ObpLookupObjectName+0×53c
b4845890 8057e246 nt!ObOpenObjectByName+0xea
b484590c 80586cc8 nt!IopCreateFile+0×407
b4845954 b4692e3a nt!IoCreateFileSpecifyDeviceObjectHint+0×52
b48459f0 b4692a72 mfehidk+0xae3a
b4845a48 b4637046 mfehidk+0xaa72
b4845a98 b463785e mfeavfk+0×4046

  1    f771f120  88aebda8            …………….

ChildEBP RetAddr 
b4941334 ba7127fb nt!KeBugCheckEx+0×1b
b4941350 ba712033 i8042prt!I8xProcessCrashDump+0×237
b4941398 804dd90f i8042prt!I8042KeyboardInterruptService+0×21c
b4941398 b34b1154 nt!KiInterruptDispatch+0×45
WARNING: Stack unwind information not available. Following frames may be wrong.
b4941478 b34a05a9 xxxx+0×12154
b4941494 b34a0731 xxxx+0×15a9
b49414c8 b34a3aab xxxx+0×1731
b49414fc b34a3bcc xxxx+0×4aab
b4941590 b466df70 xxxx+0×4bcc
b49415ac 804e33eb UDSecDrvXP+0×1f70
b49415bc b468d22e nt!IopfCallDriver+0×31
b4941608 b468f6f1 mfehidk+0×522e
b494169c b469d367 mfehidk+0×76f1
b49416ac b469d3b7 mfehidk+0×15367
b49416d4 804e33eb mfehidk!DEVICEDISPATCH::DispatchPassThrough+0×48
b49416e4 8057dbed nt!IopfCallDriver+0×31
b49417c4 8056f03b nt!IopParseDevice+0xa12
b494183c 80572358 nt!ObpLookupObjectName+0×53c
b4941890 8057e246 nt!ObOpenObjectByName+0xea
b494190c 80586cc8 nt!IopCreateFile+0×407

1: kd> u iofcalldriver
nt!IofCallDriver:
804e33b9 ff2580d75580    jmp     dword ptr [nt!pIofCallDriver (8055d780)]
804e33bf 90              nop
804e33c0 90              nop
804e33c1 90              nop
804e33c2 90              nop
804e33c3 90              nop
nt!IopfCallDriver:
804e33c4 fe4a23          dec     byte ptr [edx+23h]
804e33c7 8a4223          mov     al,byte ptr [edx+23h]
1: kd> dd 8055d780
8055d780  b34a3bc0 804e37da 804ecd58 804eceb1
8055d790  00000000 00000000 00000000 00000000
8055d7a0  00000000 00000000 00000000 00000000
8055d7b0  00000000 00000000 00000000 00000000
8055d7c0  00000000 00000000 00000000 00000000
8055d7d0  00000000 00000000 00000000 00000000
8055d7e0  00000000 00000000 00000000 00000000
8055d7f0  00000000 00000000 00000000 00000000
1: kd> u b34a3bc0
xxxx+0×4bc0:
b34a3bc0 8bc4            mov     eax,esp
b34a3bc2 60              pushad
b34a3bc3 52              push    edx
b34a3bc4 51              push    ecx
b34a3bc5 ff30            push    dword ptr [eax]
b34a3bc7 e80efeffff      call    xxxx+0×49da (b34a39da)
b34a3bcc 83f800          cmp     eax,0
b34a3bcf 7407            je      xxxx+0×4bd8 (b34a3bd8)

인증서 그리고 오픈웹… 우울합니다.

Published
by
admin
on 2월 22, 2010
in Private
. Comments

원래 이러한 잡다한 글을 쓰지는 않습니다만 오늘은 몇자 적고 싶어지더군요. 얼마전 까지 저는 이름만 대면 알만한 회사에서 보안 제품을 개발했었습니다. ( 물론 개발하던 제품중 키보드 보안도 있습니다. ) 한동안 잠잠했었는데 최근 들어 다시 인증서와 아이폰, 키보드 보안 얘기 들이 나오고 있더군요. 글을 읽다보니 참 어이 없기도 하고 왜들 저렇게 서로를 못잡아 먹어서 그럴까 하는 생각도 듭니다.

1. 인증서에 대해서..

개인적으로 인터넷 뱅킹을 주로 인터넷으로 물건 살때만 사용하지만 굉장히 편리하게 잘사용하고 있습니다. 인증서와 보안 카드만 잘 관리하면 보안상으로 없는거 보다는 낳다고 생각합니다. 오픈웹쪽의 글을 읽다보면 기존 방식은 어떠 어떠해서 나쁘다 , 안전하지 않다는 얘기들이 많이 있습니다. 그리고 결론은 항상 플러그인 ( ActiveX )를 판매하기 위한 상술이다로 끝나더군요. (” 보안개발자 + 기관 담당자 + 금감원 == 바보” 라는 결론을 내니 참 어이 없습니다. ) 오픈웹에서 주장하고 있는 내용들을 보면 정말 재미 있습니다. 사실 개인적으로 몇가지 문구가 맘에 안드는건 사실입니다.

http://openweb.or.kr/?p=2284 
” 서버가 악의적이면, 가입자 개인키는 물론 가입자의 컴퓨터까지 장악할 수 있음(플러그인을 통하여)  “

기존 방식이 어떻게 가입자 컴퓨터를 장악하는지 모르겠습니다. 일단 조금 말도 안된다는 생각이 듭니다. 가령 인터넷 뱅킹할때 악성코드 설치하시는분 계시면 리플 부탁드립니다.( 은행 보안 담당자 분들은 은행 페이지를 통해서 악성코드를 배포한다는 건가요 ?? ) . 오픈웹 주장대로라면 저는 지금까지 악성코드 개발을 위해서 20대를 바쳐서 일했던거 같습니다.

http://openweb.or.kr/?p=2284 
“SSL 서버인증서 시장은 거의 형성되지 않음(외국 인증기업의 국내 진입 봉쇄) “

어떤 인증 방법을 사용하던지 상관없지 않을까 하는 생각이 듭니다. 오픈웹에서 지금까지 계속 주장한 “선택의 자유”.. 근데 반드시 SSL서버 인증서를 써야하는것 처럼 보이는군요.

http://openweb.or.kr/?p=2284 
“플러그인을 설치해야 하므로 user들에게 보안경고창이 뜨면 “반드시 예를 누르라”고 안내할 수밖에 없음.”
“전반적으로 위험한 인터넷 환경 조성 “

몇몇 글들을 보면 사용자는 바보가 아니다라고 주장하고 있는 글들이 있습니다. 
http://openweb.or.kr/?p=2500 ( 한국 이용자가 유독 저능아라고 전제할 근거는 없다. )
사용자는 바보가 아닙니다. 당연한 얘기 입니다. 그렇기에 사용자도 플러그인을 보고 확인해서 설치할 수 있습니다. 보안 프로그램인지 아닌지.. 그 정도는 누구나 확인이 가능하죠. 아래 글을 보면 사용자는 바보가 아니라고 합니다.
최소한 파폭이나 사파리를 사용하는 정도가 되면 누구나 그정도는 분별합니다.

정말 오픈웹의 기술이 그렇게 뛰어나고 멋진기술이라면 구지 제약이 많은 우리나라 보다는 세계속에서 우뚝서는게 어떨까하는 생각이 듭니다. 하다 못해 일본만 하더라도 은행권에서 보안 소프트웨어를 채택하는데 우리나라와 같은 제한은 없습니다. 오픈웹에서 진행하는 일들이 우리나라와 맞지 않으면 세계를 평정하고 기술의우월함을 보여주면 될것이라 생각됩니다. 똑똑한 교수님들도 많으니 언어가 장벽이 되서 다른나라에 기술을 소개 못할꺼라 생각이 되지는 않습니다.

“오픈웹도 말로만 좋은 기술이라고 떠들지 말고 다른 보안 업체들 처럼 제품과 기술로 승부해서 고객으로 부터 높은 평가를 얻었으면합니다.”

2. “보안”에 대한 생각… 그리고 오픈웹

보안은 무엇인가를 지키는 것입니다. 하지만 최근 인터넷에 떠덜고 있는 글들을 보면 ‘보안’이라는 큰 명제 보다는 편가르기에 바쁘다는 생각이 많이 듭니다. 이제 그만 편가르기 하고 각자 생각하는 방법으로 고객에서 어필하면 될꺼라 생각하는데 그게 그리 쉽지않은거 같습니다. 오픈웹에 올라오는 글들 볼때마다 화가 납니다. ( 예전 회사에서는 더 심했습니다. ) 좋은 기술을 가졌으면 좀더 효과적인 방법으로 어필이 가능할꺼라 생각하는데 구지 말빨만 세워서 항상 고생하고 계시는 보안 개발자들 가슴에 대못을 박을 필요가 있을까요 ??

“비교 분석 보다는 장점을 좀더 보여주고 실제 적용 사례를 보여주면 더 좋을꺼 같은데…”

왜 그렇게 하지 않는지 모르겠습니다.

보안 개발일을 한지 이제 4년차쯤 됩니다 . (그전에는 하드웨어 드라이버 개발하는 땜쟁이 였습니다. ) 나름 보안 개발자로서 자부심도 있고 가능성도 많은 분야라고 생각합니다. 무엇보다 보안 분야는 자유롭게 생각할 수 있다는 점이 가장 매력적입니다.  

똑똑한 교수님들 덕분에 여론 몰이로 지금 시작하는 보안개발자 분들이 한가지 생각만 강요 받지 않았으면 합니다.
똑똑한 교수님들 덕분에 좋은 개발자 분들이 되도 않는 여론 몰이에 욕바가지로 먹고 보안 바닦 띄지 않았으면 좋겠습니다.

“보안은 과정입니다. 좀더 좋은 해결책을 가지고 안전한 IT 환경을 만들어 가는 과정입니다.”

과정이기 때문에 조금 어설플 수도 있고 조금 부족할 수도 있는겁니다. “좋다 나쁘다”의 개념이 아니라 “조금 부족하다 조금 덜 부족하다”의 개념이라 생각합니다. 그리고 실제 제품의 판단은 고객이 해줄꺼라 생각합니다.  오픈웹 주장도 맞고 키사나 금감원 주장도 맞다고 생각합니다. 실제 보안성은 시장에서 확인되는거니까 알 수 는 없습니다. 전혀 취약해 보이지 않아도 해커들 눈에는 취약점 덩어리일 수도 있으니까 .

두서없는 글을 나름 업무시간에 땡땡히 치면서 열라게 썼습니다. 오픈웹 글을 보고 조금 화가 난것도 사실입니다.
제발 이제 그만 하고 제품으로 보여주십시요!! 그래서 세계에서 가장 좋은 보안 제품이라는 평을 들었으면 좋겠습니다.!!

ps 제가 글쟁이가 아니라서 글을 잘 못씁니다. 본의 아니게 이글로 오해를 하시는 분들이 있으시면 리플달아 주십시요.

Twitter와 블로그 연결 완료

Published
by
admin
on 2월 10, 2010
in Private
. Comments

의외로 간단합니다.

일단  http://feedburner.google.com 에 접속해서 Blog Feed를 등록합니다.

등록 절차는 굉장히 간단합니다. 자신의 Blog의 Feed를 복사해서 Next만 눌러주면 됩니다.

일단 설정이 완료 되면 실제 Twitter와 연결을 해주어야 합니다.

Publicize > Socialize  텝으로 가시면 Twitter와 연결이 가능합니다. 여기서 반드시 해주어야하는 건 Twitter Account를 Add해줘야 한다는 거죠.

아래 옵션들은 Twitter에서 어떻게 보여줄지를 결정하는건데요. 자기의 취향에 맞게 결정하시면 됩니다.

모든 설정이 완료 되시면 이제 Blog에서 올라온 글들 이제 트위터에서 확인해 보시면 됩니다.

트위터 만들었습니다.

Published
by
admin
on 2월 5, 2010
in Private
. Comments

트위터 만들었습니다.

http://twtkr.com/insidewindows

http://twitter.com/insidewindows