본문 바로가기

리버싱 핵심 원리5

[리버싱 핵심 원리] 17장, 실행 파일에서 .reloc 섹션 제거하기 17장, 실행 파일에서 .reloc 섹션 제거하기 17.1 .reloc 섹션 EXE 형식의 파일에서 Base Relocation Table 항목은 실행에 큰 영향이 끼치지 않는다. 단, DLL, SYS 형식의 파일은 Base Relocation Table이 거의 필수적이기 때문에 이 내용은 EXE 파일에만 해당되는 내용이다. .reloc 섹션이 제거 되면 당연히 PE 파일의 크기가 줄어드는 효과를 볼 수 있다. .reloc 섹션은 보통 마지막에 위치하는데, 이렇게 마지막에 위치한 섹션을 제거하는 건 생각보다 어렵지 않다. 17.2 reloc.exe 실습 파일의 끝에 존재하는 .reloc 섹션을 제거하려면 4단계의 작업과정을 거친다. (1) .reloc 섹션 헤더 정리 (2) .reloc 섹션 제거 (3).. 2020. 11. 15.
[리버싱 핵심 원리] 11장, Lena's Reversing for Newbies 11장, Lena's Reversing for Newbies 확인을 누르면 아래와 같이 Regcode를 입력하는 부분이 나온다. 메세지 박스가 뜨면서 두 가지를 지시한다. 1) 모든 성가신 Nags를 없애라. 2) registration code를 찾아라. 전형적인 serial crackme이다. 화면의 파란 글씨를 읽어보면 registration을 위해 'SmartCheck'을 사용하라고 하고 있다. (SmartCheck는 Numega 사에서 만든 유틸리티이며 크래커들이 애용하는 툴 중 하나이다.) 올리디버거로 먼저 열어보았을 때 화면은 다음과 같다. [마우스 오른쪽 클릭] - [Search for] - [All referenced text strings] 검색을 통해 성공부분을 따라 들어가면 main.. 2020. 11. 7.
[리버싱 핵심원리] 9장, Process Explorer - 최고의 작업 관리자 9장, Process Explorer - 최고의 작업 관리자 Process Explorer? 1) windows 운영체제에서 최고의 프로세스 관리 도구는 Process Explorer 2) 유명한 sysinternals(현재는 MS에 인수되었음)의 Mark Russinovich가 만든 프로세스 관리 유틸리티 3) 이 분이 만든 유용한 유틸리티에는 FileMon, RegMon, TcpView, DbgView, AutoRuns, Rookit Revealer을 만들어 공개 Process Explorer을 다운로드 받은 후, 실행시키면 이와 같은 화면을 볼 수 있다 화면 위의 좌측의 경우, 현재 실행 중인 프로세스들을 Parent/Child의 트리 구조로 표시된다. 우측의 경우, 프로세스 각각의 PID, CPU.. 2020. 9. 28.
[리버싱 핵심 원리] 6장,abex' crackme #1 분석 06, abex' crackme #1 분석 crackme : 크랙 연습 목적으로 작성되어 공개된 프로그램 exex 확장자로 되어있는 파일을 exe 확장자로 변경해 실행시키면 위와 같은 메세지를 볼 수 있다. CD-Rom 단어를 보고 HD가 HDD(Hard Disk Drive)를 의미한다 [ 정적 분석] Ok 단어가 나와야 한다. JE라고 되어있는 부분을 JMP로 바꿔준다. JE는 Equal 부분이기 때문에 같으면 점프한다. 때문에 점프 명령어인 JMP로 바꾼다. copy to executable을 이용해 저장한다. OK가 나오는 것을 확인할 수 있다. 2020. 9. 15.
[리버싱 핵심 원리] 2장, Hello World! 리버싱 02. Hello World! 리버싱 1. Hello World.exe 1.1 Hello World.exe 1) 소스코드 및 실행 화면 1.2 디버거와 어셈블리 언어 1.2.1. 프로그램 처리 과정 소스코드(.cpp) -> 실행파일(.exe) -> 디버거 유틸리티 -> 어셈블리 언어 1) 실행 파일에 작성된 기계어는 사람이 알아보기 어렵기 때문에 좀 더 편하게 보기 위해서 디버거 유틸리티 사용 2) 디버거에 탑재된 디스 어셈블러 모듈은 이 기계어를 어셈블리 언어로 변역해서 보여줌 2. HelloWorld.exe 디버깅 2.2 OllyDbug 직관적인 인터페이스와 강렬한 확장 기능으로 무장한 Win32 디버거 설치: www.ollydbg.de/ 1) Code Window : 기본적으로 disassembly.. 2020. 9. 14.

티스토리툴바