IceSword 1.22 Beta3 Release

 | Kernel
2007.07.10 17:33

IceSword 1.22 Beta3 Release




IceSword 1.22 Beta3 Release


IceSword download 아래 클릭



사용자 삽입 이미지

IceSword 1.22 버전이 릴리즈 되었습니다.

http://pjf.blogcn.com/index.shtml <- 개발자 홈피 입니다.


일단 크게 달라진 점은 Advanced Scan이라는 기능이 들어갔네요. 버튼을 눌러 스캔을 해보면,
거의가 Hooking Check 인 것 같습니다. 후킹된 부분을 좀더 상세히 그리고 다양하게 분석하여
출력물을 내줍니다.

후킹의 종류도 다양하게 Inline code modified (overwrite hook 이라고 이해하셔도 됩니다),
Table Hook (IAT, EAT - include kernel level) 뭐 다양하게 분석해줍니다.

말은 어드밴스드 스캔인데 Memory Scan 이라고 표시하는것도 맞을지 나을지도 모르겠군요. :p

하지만 일반적인 후킹이라고 또 할 수 없는것이,,, 보통 일반적인 Hooking check 솔루션은
최초 5byte정도만을 체크하여 후킹여부를 조사하는데, 이 Advanced Scan에서는 각 펑션의
전체 덤프를 떠서 비교하는 것 같습니다. 타겟의 entry point 부터 앞에만 대강 비교하는 것이
아니고 전체 펑션을 full compare 를 하여 달라진 len 길이까지 정확하게 비교해줍니다.

사용자 삽입 이미지

따라서 Advanced Scan에서는 기존 SSDT 버튼이 있는것과는 별도로 SDT Hook check 를 또
하게 되는데요, 기존 기능에서는 후킹된 모듈 나열에서만 그쳤지만 새 기능에서는 역시 좀더
확장적으로, original byte와 메모리 상의 byte를 비교해서 보여주고 실제로 달라진 len 길이까지
표시해줍니다  

참고로 Advanced Scan은 화면 길이가 맞지 않아 버튼이 짤리므로 Small Icon으로 바꾸신후
보셔야 할 겁니다 (좀 짱나네요 ㅎㅎ)

근데 스캔하고 있다고 표시를 해주던지 프로그레스바를 보여주던지 했으면 좋겠는데,,, 아무런
진행UI가 없어서 계속 클릭질을 하고 있었네요 -.- 메시지박스 나올 때까지 기다려야 합니다 ;;

사용자 삽입 이미지

기존 Rootkit Detector들이 ntoskrnl 분석 중심이었지만, 사실 방화벽 bypass 등에 ndis.sys나
tcpip.sys도 루트킷들이 많이 후킹을 해댔죠, 역시 깔끔하게 분석을 해줍니다 (화면은 룻킷은
아니고 사이게이트 ㅎ )

그리고 유저 레벨도 분석을 해줍니다 overwrite hook은 물론 IAT와 EAT 훅 까지 모든 프로세스를
점검 해주네요

사용자 삽입 이미지


그밖의 달라진 기능은, 2003/VISTA용도 호환을 시킨 부분입니다. 드디어 해당 OS의 드라이버도
제작했나봅니다 (기존에는 VISTA는 물론 2003에서도 일부 동작하지 않던 경우가 많았죠)
물론 64비트용은 아직 힘들겠죠 ㅎㅎ Signing 문제도 있고...

SDT Resotre버튼도 있던데 눌러보진 않았습니다 (혹시나 리붓이 무서웠던 것일까요? ㅋ)

대략 중요하다 싶은 기능을 함 정리해보았습니다. Find Module같은거야 별거아닌 패치니까 따로
설명 드리진 않겠고요, 어쨌든 지금까지 IceSword가 놓치고 있었던 커널의 각종 주요부를
체크해줄 수 있다는 부분에 역시 또 좋은 기능이 추가된 것 같습니다

이제부터는 지금까지 IceSword Bypass로 쓰였던 Cm...시리즈의 레지스트리 히든이나,
IRP Hook 등을 체크해볼 수 있을 것 같습니다, 아쉬운 점이라면 걔들을 선별적으로 Restore할
수 있는 기능도 있었으면 좋을텐데 그게 좀 아쉽네요(한넘 원복화 시키려다가 다른넘 때문에
계속 블루뜨면 ㅠ ㅠ)

GameGuard와 동시에 실행될 때는 어떤식이 될 지 많은분들이 궁금할 수도 있을 거 같은데, ㅎㅎ
전 아직 해보진 않았고요, 글을 읽어보시는 분들이 직접 해보시는게 좋겠네요 전 별다른 코멘트는
남기지 않겠습니다 :p

간단하게 사용해본 소감문입니다 써보다가 혹시 또 잼난게 발견되면 추가로 내용을 작성해보도록
하겠습니다 ;)




신고
Posted by window31


댓글을 달아주세요

  1. 꿀딴지
    2007.07.11 14:28 신고
    댓글 주소 수정/삭제 댓글
    내가 어제 준거네 ㅋㅋㅋ
  2. 2007.07.18 01:55 신고
    댓글 주소 수정/삭제 댓글
    일주일만 힘냅시다 홧팅 ;
  3. 스토커
    2007.07.23 12:18 신고
    댓글 주소 수정/삭제 댓글
    얼음칼이 드디어 업글을
  4. 2007.08.10 00:53 신고
    댓글 주소 수정/삭제 댓글
    집 컴터에 없어서 다운받아 갑니다 ^^

BLOG main image
by window31

카테고리

분류 전체보기 (285)
Reverse Engineering (22)
C, C++ (20)
Kernel (8)
Guitar (19)
잡담 (79)
etc (8)
who am i (8)
보안 이야기 (89)
Tools (3)
월간 마이크로소프트웨어/그.. (28)

글 보관함