junsoo STUDY

[레나 튜토리얼] - 1

reverseMe.exe 파일을 실행해 본다. 라이센스를 구매하라는 문자가 출력된다. 올리디버거에서 문자열 검색을 위해 따로 기록해 놓자 EXEinfoPE로 패킹 여부를 확인해 본다. Not packed, 패킹이 안되어있다. 올리디버거에 올리고 F8 눌러 어디서 메시지 박스가 뜨는지 확인해 본다. MessageBoxA 실행되고 ExitProcess 함수가 실행되어 프로그램이 종료되는 거 같 다. MessageBoxA 인자값을 보면 exe 파일을 실행했을때 출력되는 메시지가 보인다. 프로그램에서 사용하는 문자열를 확인해 본다. 다행히 문자열 개수가 적다 ㅎㅎ 아래 성공했을 때 출력하는 문자열(You really did it ...)이 보인다. 해당 문자열이 있는 곳으로 이동해 본다. 라이센스를 구매하라는 ..

Ollydbg 패치

#include #include #pragma comment(lib, "user32") int WINAPI WinMain(HINSTANCE hInst, HINSTANCE hPrev, LPSTR lpCmd, int nCmd) { int num1; char str[24]; for(num1=0; num1= 5이면 점프를 하는데 소스코드에서 num1 7로 수정했다. 코드창에서 마우스 오른쪽 클릭 후 Copy to executable - All modifications Copy Save file for.exe 파일을 패치하여 for_패치.exe 파일을 만들었다. for_패치.exe 실행하면 for.exe 에서는 안나왔던 5와 6도 출력이 된다. [패치 시 주의 사항] 1. 이미 실행된 어셈블리어는 수정할 수 없다..

Ollydbg 설명

OllyDbg - 프로그램을 분석할때 사용하는 디버거이다. - 올리디버거로 실행 파일을 오픈하면 Address of Entry Point(프로그램 코드 시작)에서 시작한다. - 선수 지식 : 어셈블리어, PE 파일 구조, DLL 기본 개념, 메모리 주소 관련 F8 코드 한줄 실행 F4 마우스로 선택한 주소까지 이동 F9 코드 전체 실행 Ctrl+F2 프로그램 재실행 F2 브레이크 포인트 지정 (한번더 누르면 해지) F7 함수 내부 진입 Ctrl+g 주소 이동(코드 윈도우, 메모리 윈도우 각각 사용 가능) * 현재 위치로 이동(즉, EIP에 저장된 주소로 이동함) - 코드 영역에서 스페이스 or 마우스 더블클릭을 실시하면 코드를 변경할 수 있다. - 다음과 같이 설정하면, 스택을 EBP 기준으로 확인할 수..

32_패킹&언패킹

@ 32_패킹&언패킹 패킹 실행파일을 실행이 가능한 상태로 압축을 한다. 프로그램 코드 크기를 압축 + 프로그램 분석을 어렵게 하기 위해 암호화한다. 패킹된 파일은 PEview - IAT가 압축되어 함수가 보이지않는다. 따라서 분석을 하기가 힘들다. 압축 프로그램으로 파일을 압축을하면 압축을 풀어야지 파일을 실행할 수 있다. 하지만 파일을 패킹하면 파일을 실행할 때 자동으로 압축이 풀려서 실행이된다. 패킹된 파일을 원래상태로 되돌리는 것을 언패킹이라고 한다. 패킹할 수 있는 프로그램을 패커라고 한다. 1. UPX - 운영 체제에서 사용하는 실행 파일 압축/해지 프로그램 - 대략 60% 정도의 압축율을 제공한다. 2. 'Packing_1.exe' 파일 UPX 패킹 1) upx을 이용하여 'Packing_1..

MOV, LEA, ADD, SUB, IMUL, IDIV

MOV 엔트리 포인트에서 main 함수 찾기 #include int main() { int num1 = 6; int num2; num2 = num1; return 0; } mov.exe 파일을 올리디버거로 연다. 올리디버거는 엔트리 포인트에 위치하니 main 함수를 찾아야한다. main 함수 인자값이 세 개이기 때문에 함수 진입전 push 를 세 번하는 곳이 main 함수 일 것이다. PUSH 세 번이 있기 때문에 main 함수 위치로 의심이 된다. 함수 진입 후 어셈블리를 확인해 보면 main 함수가 맞는거 같다. MOV.exe 어셈블리 코드

02_PE 파일 분석(PE 헤더)

@ 02_PE 파일 분석(PE 헤더) - 분석 환경 : Windows7(32bit) - 분석 파일 : calc.exe - 분석 도구 : PEview, HxD, CFF Explorer, OllyDbg 1. PE 구조 - PE 헤더 : IMAGE_DOS_HEADER, MS-DOS Stub Program, IMAGE_NT_HEADERS, IMAGE_SECTION_HEADER - PE 바디 : 실제 데이터 정보가 있는 영역(text, data, rsrc, reloc) 2. IMAGE_DOS_HEADER - 64Byte(0x40)로 구성되어 있으며, 19개 필드로 구성되어 있다. - PE 파일 시그니처와 IMAGE_NT_HEADERS의 위치 정보를 갖고 있다. - e_magic : '5A4D' -> MZ -> P..

01_리버싱 선수 지식

@ 01_리버싱 선수 지식 - 역공학 분석 : 실행 파일을 역으로 분석하는 행위 - 정상적인 리버싱 : 프로그램 분석, 업데이트, 패치, 악성 코드 분석 - 악의적인 리버싱 : 프로그램 크랙, 무단 사용, 시리얼 키 우회, 악성 코드 제작/유포 1. 실행 파일(Excutable File) - 명령어에 의해서 특정 작업을 수행할 수 있도록 생성된 파일(Code, Data 포함되어 있음) - 각각의 운영체제마다 실행 파일 형식은 다음과 같다. Windows PE(Portable Exectable) Linux ELF(Excutable & Linkable Format) MAC Mach-O(Mach Object File Format) 2. 프로그램 & 프로세스 & 프로세서 & 쓰레드 - 프로그램 : 작업을 수행하..