Broken Code (window31)

사회라는 곳은 끊임없는 커뮤니케이션이 이루어지는 곳이고 대화가 오가는 과정에선
좋은 말 나쁜 말 기쁜 말 슬픈 말 많은 말들이 오갈 수 있습니다. 또 그러한 말이 오가다보면
자신의 머릿속에 담겨 있는 것들을 상대방에게 또는 제3자에게 잘 풀어서 설명하는 것이
필요할 때가 많죠. 그것 또한 중요한 능력입니다. 보통 흔히 말해 커뮤니케이션 능력이라고 하죠.
커뮤니케이션이 뛰어난 사람들이 모인 집단은 같은 일을 해도 다른 집단보다 생산성 높고 
양질로 풍성한 결과물을 도출해 내며, 여러 사람이 일을 해도 따로 놀지 않고 언제나
신속한 분위기를 만들어 갑니다.

그런데 이런 커뮤니케이션 분위기에 방해를 주는 사람들이 있습니다. 그것은 바로
눈앞에서는 잠자코 말을 못하고 있다가 뒤에가서 호박씨 까는 사람들입니다. 뒤로
돌아서서 커뮤니케이션 당시 결론냈던 것에 위배되는 행위를 하거나, 커뮤니케이션
상대의 상사에게 뒤에서 안좋은 식으로 포장해서 욕을 하는 것들이 그 대표적인
저질 행동입니다.

왜 앞에선 당당하게 얘기를 못할까요 ? 물론 본인이 직급이 낮거나 나이가 어리거나
또는 현실적으로 상대방에게 솔직한 이야기를 하지 못하는 환경일 수도 있습니다(예를
들어 그사람이 나의 연봉을 결정할 수 있는 경우? ㅋㅋㅋ). 하지만 그런 것이 아닌데도
서로 꿀릴 거 없는 동등한 관계임에도 불구하고 앞에서 커뮤니케이션 할 때에는 아무
말 못하고 있다가 뒤에가서 그러는 것은 정말 이해할 수 없는 짓입니다.

보통 이런 사람들은 매사에 당당하지 못하고 언제나 강자에게 비굴하게 빌붙어 있으며
항상 자신은 손해보지 않고 누군가의 힘을 빌어서 모든것을 대하는 경우가 많습니다. 딱
적당한 비유가 있네요, 조폭이나 협객들 그리고 진정한 총잡이(?ㅋㅋ) 들은 상대방이
등 뒤를 돌리고 있을 때 칼로 찌르거나 뒤에서 총을 쏘는 행동을 하지 않는데, 아까 말한
저질 행동자들은 상대방이 앞을 보고 있을 땐 숨어 있다가, 상대방이 등을 돌리기만 하면
총을 쏩니다. 바로 그게 이런 사람들의 습성이라고 말할 수 있습니다.

사실 어떻게 보면 참 불쌍한 사람들입니다. 왜냐하면 이런 사람들은 이런 비겁함과 모자람에
커뮤니케이션 능력이 떨어지는 것도 부족하여 아예 인간관계 그 자체가 좋지 않은 경우가
많으니까요. 주변 사람들이 너도 나도 그사람에 대해 욕을 합니다 "저색키는 다른데서도
저런다며? 어떻게 사람들이 다 싫어하냐!" 등등.. 너무 불쌍하죠? 따라서 자신의 등 뒤에
칼을 꽂는 사람이 있더라도 너무 화내지 말고 불쌍히 여겨서 돌봐주어야 합니다. 세종대왕도
백성을 어여삐 여겨 한글을 만들었는데, 우리라도 소인배들을 어여삐 여겨 앞에서는
얘기도 못하고 뒤에 가서 상사에게나 꼰지르는 것들의 성격을 고쳐줄 수 있도록 커뮤니케이션
능력을 키워줘야 하지 않겠습니까?

커뮤니케이션 능력이 딸리는 것들을 미워하지 맙시다 !!!
모자라다면 때려서라도 가르쳐야죠 :)




window31. 2009년 5월.

malware 중에는 svch0st.exe, kerne132.dll 같은 시스템 모듈 파일이름을 흉내낸
짜가리 파일이 많죠. 그런 찌질이들 탐지하는 루틴을 만들고 있는데요,
테스트 삼아 notepad.exe 를 svch0st.exe 로 이름을 변경했는데 바로 V3 에서
잡아버리네요 오우 ㅋㅋㅋ

요즘 백신들의 휴리스틱 엔진은 재미있는 것이 많군요 :)

Themida 2.0.8.0 이 릴리즈 되었습니다.
테스트 해보니 기존에 써먹던 버전 체크 방법이 먹히질 않네요.
Hide from PE Scanners 가 점점 강력해지는듯 :) ?




Themida [2.0.8.0] (07-May-2009)
[+] Improved compatibility in CHECK_PROTECTION macro 
 
[+] Improved compatibility with CHECK_CODE_INTEGRITY macro 
 
[+] Improved compatibility with "Hide from PE Scanners --> Type 4" in specific applications 
 
[+] Improved compatibility with "ImplicitImport" option for specific DLLs 
 
[+] Improved compatibility with API-Wrapping Level 2 in specific applications 
 
[+] Opcodes inside the Unprotected macro are now scrambled 
 
[+] Added compatibility with anti-debug and Rising PC Doctor antivirus 
 
[+] XBundler: Improved compatibility with specific RealBasic applications 
 
[!] XBundler: Fixed compatibility issue with SearchPathW 
 
[!] Fixed virtualization of "xchg REG32, ESP" 
 
[!] Fixed compatibility issue in CHECK_PROTECTION for specific DLLs 
 
[!] Fixed compatibility issue with Windows 7 build 7077 
 
[!] Minor bugs fixed 

이번 마소 5월호 "백신을 공격하는 악성코드" 편에서 마감 이후에 갑자기 필자메모를 하나 추가해달라길래, 작성해 드렸는데 막상 잡지가 나오고 난 뒤에 보니 그것이 편집 당해 있네요 뭫미 ;;; 재미없는 글이지만 아깝기도 하고 그 일을 고자질도 할 겸(이모 기자님 미워요 ㅠㅠ) 이렇게 블로그에 붙혀넣습니다 :)


Kaspersky 의 SDT Relocation

이번 코드게이트 2009 발표시에 크리스는 악성코드의 비 공식화된 행동이 잦아짐에 따라, 안티바이러스 개발자들의 악몽이 시작되는 것이라 표현하였다. 악몽이라니 그것은 무슨 의미일까? 악성코드는 백신을 공격하거나, 탐지되지 않게 우회할 때 프로그래밍 방법론에 있어서 정석적인 방법이 아니라 비 문서화 된 기술을 주로 이용한다. 이렇게 상대가 Undocumented 하게 구현하여 활개치고 다니게 되면, 백신을 개발하는 입장에서도 그런 변칙적인 활동을 캣취하기 위해서는 같이 Undocumented 한 기술을 사용할 수 밖에 없다.

여기서 바로 플랫폼의 한계라는 것에 대해 부딪치게 된다. 악성코드는 버그가 좀 발생하게 개발해도 무방한 프로그램이고 사용자의 PC 에 문제를 일으켜도 무시하면 그만이다. 하지만 안티바이러스는 여러 사용자의 PC에서 안정적으로 실행되어야만 하고, 문제 발생시 많은 클레임을 겪게 된다. Undocumented 기술을 사용하자니 문제가 발생하여 고객센터에 난리가 나고, 그 기술을 사용하지 않으려니 악성코드를 잡지 못하는 등 개발자들은 가치관의 혼동이 일어나게 된다.

이런 연유로 Undocumented 에 대해 안티바이러스 개발자들의 악몽이라고 표현하고 있다. Undocumented 기술이라는 것은 비 표준화된 방법이고 문서화 된 것이 없기 때문에 언제 어디서 폭탄이 터질 지 전혀 알 수 없는 위험한 기술이다. 아무렇게나 만들어도 그만인 악성코드와 안정성도 함께 고려해야만 하는 백신 개발자가 짊어지고 가는 Undocumented 사용 지불에 대한 무게는 너무도 차이가 크다. 그런 의미에서 Undocumented 한 기술의 하나인 SDT 릴로케이션 기법을 완전히 안정화시켜 정식 기능으로 사용하고 있는 카스퍼스키 안티바이러스는 정말 대단하다고 생각된다.

Windows7 Release Candidate(RC : 릴리즈 후보) 다운로드 사이트가 떴습니다.
아래 사이트에서 다운로드 받을 수 있네요
다운로드 용량이 허거거걱 2.36GB...;

Windows7 은 메모리가 2기가는 되어야 버벅임 없이 돌아간다는데
VPC 에서 사용할 수 있을랑가 모르겠군요...;

암튼 사용해 보세요 오늘 날짜로 오픈되었습니다.




http://technet.microsoft.com/ko-kr/evalcenter/dd353205.aspx?ITPID=mscomsc

필자 메모 - 네이티브 프로세스 예외
강병탁 / window31 (window31@empal.com / www.window31.com)

월간 마이크로소프트웨어 2009년 5월호
("Bypass AntiVirus" 3회 - 백신을 공격하는 악성코드 中)


네이티브 프로세스를 감염시키는 바이러스는 정말 조심에 조심을 거듭해 치료해야 한다. 네이티브 프로세스를 잘못 건드렸다가는 컴퓨터가 부팅조차 되지 않기 때문이다. 그런데도 아쉽게도 네이티브 프로세스 오진으로 사용자의 컴퓨터를 마비시키는 치명적인 사건이 발생했다는 소식이 아직도 들려온다. 악성코드가 네이티브 프로세스를 건드리는 이유에는 여러 가지가 있겠지만, 그 중 하나는 그 부분을 감염시키면 백신이 건드리기 힘들 것이라는 의도도 포함돼 있다는 것이다. 나를 치료하려다가 이 컴퓨터의 주인에게 오히려 더 큰 원성을 살 것이라는 약삭빠른 계산이다.

안티바이러스 엔진 개발자들은 smss.exe, csrss.exe, lsass.exe, svchost.exe 등 시스템에 반드시 사용되는 프로세스를 치료할 때 삭제할 대상으로 판정돼도 그것을 오진으로 간주, 네이티브 프로세스를 지우는 일만큼은 피할 수 있는 예외를 추가해야 한다. 백신 업데이트 후 컴퓨터 부팅이 되지 않는다는 유저들의 울부짖음은 백신 업체들에게 큰 모욕이자 치명타가 된다.