volafox project: inline function hooking detection
volafox 프로젝트로 만들어진 도구에서 시스템 콜을 조작하는 루트킷의 정보 변조 기법을 탐지하기 위해 업데이트를 하고 있습니다.사실 단순히 시스템 콜의 핸들러 주소를 변경하는 System call Hooking은 현재 해당 프로젝트에서도 어느정도 탐지해...
volafox: TODO
아시는 분들은 아시겠지만 볼라폭스가 이번에 백트랙(BackTrack) Repository에 추가되었습니다.아무래도 외국 유명 포렌식 블로그에 추가된 영향이 큰 것 같습니다. :)기분이 좋긴하지만 부담도 상당하네요.최근에 아이패드를 구매하면서 마인드맵도 구매하고 첫번째로 한 작업이 volafox에서 지금까지...
volafunx 0.2 beta2 Release
뒤늦게 글을 올리네요. volafunx 0.2 베타2가 지난번에 릴리즈 되었습니다. 이번 버전의 특징은 다음과 같습니다. 도구 링크: volafunx 0.2 beta2 * 프로세스 목록 추출: 기존의 리스트 기반 추출에서 해시 테이블 기반...
FreeBSD Rootkit Part1 - Understanding KLD & Skeleton Code
FreeBSD는 현재 리눅스 2.6 커널과 마찬가지로, 단일 커널에 주요 기능을 부여하고, 3rd party 개발자가 추가로 원하는 기능이나 디바이스 드라이버를 손쉽게 추가하기 위해 동적 커널 링커를 제공한다. 동적 커널 링커를 연결함으로...
volafox의 최근 근황
원래 메인 모듈은 volafox인데 BSD분석 모듈인 volafunx가 더 진행이 되고 있습니다. 이 이유는 다른게 아니라, 프로세스 덤프 기능 때문입니다. BSD와 다르게 Mac OS X는 커널이 32비트이고 데이터 관리를 32비트로 하지만, 32비트와...