비닥이 블로그

실로 오랜만에 포스팅을 하는군요....음...

거의 1년 3개월만에 Memget Project 관련 포스팅이라니...

1.6.11.44 버전 이후 지금까지 뭐...거의 변한건 없지만 몇가지 기능이 좀 추가되었네요..

관련 코드나 방법은 차차 포스팅하기로 하겠습니다.

이후 추가된 기능은 다음과 같습니다.

일단 Memget Project에서 Memget Package로 이름을 바꿨네요 ㄷㄷ 먼가 많이 늘어나서 한번에 포함하다보니...이리 됬습니다.

Memget Package는 An integrated tool for analysis and penetration testing on Microsoft Windows(https://unsigned.kr)에서 나와있다시피 윈도우용 취약점 점검도구입니다

상세 정보입니다.

Memget Package Last Version Info--------------------------------------------------------

먼가 많이 늘긴했는데 별건 없습니다.

크게 바뀐겐 Package로 바뀌면서 안드로이드가 추가됬습니다.

전체적으로 안드로이드 용은 버그가 좀 많긴한데 ... 필요해서 만든거라 개인적으로는(?) 쓸만합니다 (-_-);;

 - 원하는 SysCall에 대하여 후킹하고 인자값 및 리턴값을 출력합니다.

 - 원하는 Data를 찾고 바꿀수 있습니다.

 - 원하는 라이브러리를 인젝션 시킵니다.

 - 루팅탐지를 우회 합니다.(이거 잘됫는데 몇일전에 해보니 안되는게 종종 보이네요. 수정해야할듯..)

 - 원하는 화면을 캡쳐합니다. 드레그 이벤트를 탈취하여 복원합니다.

예전에 언싸에 다운로드 공개했는데 먼가 말이 많아서 닫아두었네요 ㅠ

Memget Package 1.6.11.44  이후 바뀐점은

 - 몇가지 기능을 모듈화 하고, UI를 살짝 변경하였습니다.

 - BASE64 En/Decode 추가

 - DLL Injection 추가

 - 각종 보안 모듈 점검용 기능 추가

 - Windows 8 용 프로세스 관련 기능 추가

 - 메모리 덤프 부분 알고리즘 변경

 - 프로세스 Kill 방법 추가

 - BHO 접근 5종 추가

 - DLL 분석 기능 추가 중 입니다.

전체적인 UI입니다.

일단 BHO에 접근하여 IHTMLDocument2를 얻었다는 가정하에 시작.

IHTMLDocument2  *pHTMLDoc2

CStringToBstr()은 Edit Control 에서 입력받은 CString을 BSTR로 변환해주기 위해 사용함.

주요 내용은 

CComQIPtr <IHTMLDocument3> pDocu3_ValueChange(pHTMLDoc2);

로 IHTMLDocument2를 3으로 바꿔주고

pDocu3_ValueChange->getElementById(TagID, &pElement_ValueChange);

입력받은 테그 ID로 해당 엘리먼트를 검색 후

CComQIPtr <IHTMLInputElement> pInput_ValueChange(pElement_ValueChange);

(INPUT테그일경우) IHTMLInputElement로 변환함

정상적으로 변환되었다면 put_value함수를 이용해 값을 변경할 수 있음.

반대로 get_value를 사용하면 해당값을 얻어올 수 있다.

[+] 수정사항

    [-] 기존 ARP 스푸핑 시 Local IP 및 Gateway IP를 직접 적어줘야 했던 부분을 자동 입력으로 변경

[+] 추가로 1.6.11.43 수정사항

    [-] BHO Date Change 기능 추가

1.6.11.42 Update

+수정내용

 - BHO Form View 기능 추가

 - [UI] 접근 및 옵션 선택으로 구분

+필요 수정 내용

 - Tag ID가 일부 표시 안됨(인젝션된 스크립트와 일부 다르게 출력)

 - 데이터 변조 기능 추가 예정

지금까지 만들어진 UI 공개!! 뭐 원래는 하나였는데 붙이다보니 죄다 덕지덕지 붙여서 하나도 안이쁘지만...
날잡고 죄다 처음부터 뜯어고칠 생각!!! 하지만 시간이..ㅠㅠ

- 메인 화면

- 네트워크 선택 화면

- ARP 선택화면

- 디바이스 선택화면

-  BHO 선택화면

-  COM 선택화면

- CRC32 선택화면

현재까지 만들어진 기능을 정리해보았다~ ㅎㅎㅎ 뭐 이래저래 잡다한 기능뿐이고 오류도 많지만.....
뭐 수정도 해야하고...근데 시간은 없을뿐이고 ㅋㅋㅋㅋㅋ
언젠간 되겠지 ㅋㅋㅋ 일단 현재 최신 버전으로 정리함!

일단 차 후 옛날 버전부터 조금씩 공개하려고 마음먹었으나... 소스코드도 엉망이고 정리도 안되고 진짜 부끄러워서 ㅠㅠ
지금은 공개할 수 가 없음.. ㅠㅠ 일단 바이너리는 조만간 공개 할 생각!

Program Name : Memget Project

Version : x86 Memget Project 1.6.11.40 ADDI Ver (x64용 요청시 배포 가능 - 최신버전)
              x64 Memget Project 0.1.5.8.7(x64용 최신 버전 - 구버전임)

- 현재 구현된 기능

 1. Memory Dump
 2. Process Kill (Self)
 3. Win API Hook
 4. Packet 스니핑 + ReSend Packet(변조가능, 로우패킷)
 5. 네트워크 스캔 + ARP스푸핑 + Data 변조 + Local Proxy(ARP스푸핑 부가기능-웹프록시 아님)
 6. 윈도우 서비스 및 디바이스 정보 출력
 7. 디바이스 드라이버 인스톨 기능
 8. 모듈 버젼 확인
 9. CRC32 계산 + HACK
10. BHO 인스톨기능
11. BHO Web Injection - Java Script Injection + HTML View
12. COM 정보 출력 - DLL 분석기능
13. Debuger Detecter

- 추가 구현된 기능

 1. KeSystemService쪽 후킹 모듈(후킹만 걸어둠)(sys)
 2. Zw함수 후킹 모듈(후킹만 걸어둠)(sys)
 3. NDIS 후킹 모듈(구현중) (sys)
 4. BHO DLL 모듈(dll)

- 발견된 오류

 1. API 후킹 후 종료시 프리징
 2. API 후킹 시 PID입력 후 종료 누를시 프리징
 3. 스푸핑 시 데이터 변조 길이가 심하게 차이날 경우 정상동작 안함
 4. 초기화면 빈영역 클릭시 예외처리 안됨

- 개선필요 사항

 1. 패킷 재전송 후 결과 출력 추가 구현 필요
 2. COM관련 기능 추가 필요(후킹 등)
 3. BHO데이터 변조 및 추가기능 구현 필요( 다양한 접근 방법)
 4. CRC32 HACK 알고리즘 최적화 및 재 구현 필요(속도 느림, 알고리즘상 문제로 일부 HACK 불가)
 5. 스푸핑 시 Proxy모드 중복패킷에 대한 처리 루틴 필요
 6. Remote Memory 덤프 구현 필요