목록보안 공부/리버싱 (19)

EASY7

msdn

msdn 검색하기 FindResourceA LoadResource LoadLibrary : 라이브러리 로드 LockResource FreeResource GetProcAddress: 내가 지정한 모듈(라이브러리)에서 함수의 주소를 알기. OpenProcess : 프로세스의 핸들 가져오기. VirtualAllocEx : 할당할 주소 WriteProcessMemory : 이 프로세스 메모리에 적기 CreateRemoteThread :쓰레드 갖기 GetProcAddress:
보안 공부/리버싱 2019. 10. 28. 17:28
010 editor 툴

010 editor 란 1. text editing 기능 text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code 편집 코드 하이라이트 기능 50GB까지 파일 지원 2. binary 파일을 사람이 읽을 수 있는 형태로 변형해준다(HxD와 비슷) 3. 다양한 template 적용하여 데이터를 파싱할 수 있다. template 다운로드 받기 https://www.sweetscape.com/010editor/repository/templates/file_info.php?file=EXE.bt&type=0&sort= 3-1. templates- view installed templates 3-2. template add 3-3. run template ..
보안 공부/리버싱 2019. 10. 28. 15:53
PE 구조에 대한 이해

PE 구조에 대한 이해 PE파일은 윈도우에 해당하는 파일 포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx확장자가 있다. 실행파일 계열 : EXE, SCR(screen saver) 라이브러리 계열 : DLL, OCX(Active X) 드라이브 계열 : SYS 오브젝트 파일 계열: OBJ PE 구조에서 사용되는 용어 -ImageBase : 실행 파일이 메모리에 로드 될 때 주소 -Entry Point(EP) : 실행 파일이 메모리에 로드 된 후 처음 실행되는 주소 -Alignment : 각 섹션에 할당된 공간 일반적으로 섹션에 1000이 할당되며, 파일에는 200이 할당된다. RVA(Relative Virtual Address) : 메모리에 로드될 때, Image..
보안 공부/리버싱 2019. 10. 27. 23:47
OllyDbg 단축키

디버거 동작 명령어 단축키 설명 F2 break point 설정/해제 F9 실행(브레이크 포인트에서 멈춤) F7 한 줄 씩실행 (step into)-CALL을 만나면 함수 안으로 들어감 F8 한 줄 씩 실행(step over) F4 커서(마우스 갖다댄 부분) 위치까지 실행 (디버깅하고 싶은 주소까지 바로 가기) Ctrl + g 원하는 주소로 인동 * 현재 EIP 위치를 보여줌 - 직전 커서 위치를 다시 보여줌 엔터 커서가 CALL/JMP 등의 위치에 있다면 해당 주소를 따라가서 보여줌 (실행되는 것은 아님) ; 각주(comment) 추가 : Label 추가 원하는 주소에 특정 이름 붙여주는 기능 아래 기능들은 실행하면서 나오는 경우가 많음.(패킹이 된 경우, 메모리에서 압축을 해제하면 볼 수 있기 때문이..
보안 공부/리버싱 2019. 10. 24. 23:59
IDA 단축키

call sub400000에서 'n'누르면 이름 변경됨. F5하면 c언어로 보여줌 스트링 검색 : shift + f12 , alt+t 주소 이동(jump to address) : g 각주 : ; call 따라가기 : x 뒤로가기 : esc 그래프 : F12 스트링 검색 패턴 1.shift+f12로 스트링 리스트 보기(시간이 다소 걸림) 2. ctrl F 로 원하는 스트링 검색 3. 더블 클릭하여 data 영역으로 이동 4. 단어에서 x자판 누르면 참조하는 곳으로 이동 이 화면에서 넘어가기 : space IDA View나 Hex View 창에서 가고 싶은 함수로 이동: ctrl + p
보안 공부/리버싱 2019. 10. 24. 23:57
패킹, 언패킹

패킹이란, 실행압축 http://index-of.co.uk/Reverse-Engineering/Unpacking%20%5Bezbeat%5D.pdf
보안 공부/리버싱 2019. 10. 14. 01:09
IDA 오류 : Imports segment seems to be destroyed.

-내 맘대로 해석- import segment 가 손상된 것으로 보인다. 이것은 분석하기 어렵도록 파일이 난독화(팩)되거나 변경된 것으로 보인다. 만약 당신이 원래 형태로 imports segment를 사용하고 싶다면 'make imports section'을 체크를 해제한 후 리로드 해라. (checkbox checked: 체크해라/ checkbox cleared : 체크 해제해라) IDA 다시 실행시켜서 make imports section 체크박스 선택해제하면 해결..
보안 공부/리버싱 2019. 10. 14. 00:36
IDA 에러 : Permission denied. Please specify another file path for the database.

Permission denied. Please specify another file path for the database C:\Program Files에 있는 파일은 권한이 거부된다. 해당 디렉터리를 바탕화면 같은 곳에 복사해서 다시 열어보니 해결되었다.
보안 공부/리버싱 2019. 10. 14. 00:23
Prev 1 2 3 Next