EASY7

Exeinfo PE A.S.L이 만든 소프트웨어로 exe파일 분석 프로그램(PEiD와 비슷한 프로그램) 실행 후 파일을 드래그&드롭하여 프로그램이 어느 언어로 작성되었는지, 패킹, 크립팅, 프로텍팅 여부를 알 수 있다. -파일의 이름을 변경, 단순 삭제 -파일의 사이즈, 사이즈 등 정보 -패킹 유무 -프로그래밍 언어 종류 -파일의 통계정보, 해시값 **다운로드 링크 http://exeinfo.atwebpages.com/ PEiD -PE파일에서 470개의 다른 시그니쳐 탐지 -기본적인 패커, 컴파일러에 대한 정보 1. 기본적인 UI 2. 섹션 뷰어 3. 디스어셈블러 뷰어 4. PE 파일의 상세 정보 5. OEP 파인더

패킹이란...? 패킹은 "실행 압축"이라고 표현할 수 있다. 실행 파일 내부에 있는 코드를 압축하여 평소에는 코드를 압축한 상태로 저장하고 있다가 파일을 실행하면 메모리에서 압축을 해제 시킨 후 파일을 실행시키는 기술이다. -장점 1. 파일의 크기를 줄일 수 있다.(전 후 3~4배의 차이가 있다) 2. 크래커의 리버싱으로부터 보호할 수 있다. UPX 패킹에 대해서.. 1. UPX 툴 다운로드 환경 변수 등록하기 (PATH 맨뒤에 ';' 추가하고 디렉터리 추가)->윈도우 다시 시작 2. 패킹하기 upx -1 원본파일 : 원본파일을 패킹하여 덮어씌운다. UPX0, UPX1, .rsrc 로 구성된다. * Section UPX0 : 메모리에 로드된 후 압축코드가 해제 될 공간 * Section UPX1 : 압축..

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 Unpack을 한 후 Serial을 찾으시오. 정답인증은 OEP + Serial Ex) 00400000PASSWORD 문제 풀이 1. 파일이 PUSHAD로 시작하는 것으로 보아 UPX 패킹 되어있음을 알 수 있음. 2. 스크롤을 내려, POPAD를 찾아 F4(커서 까지 실행하라) 입력 3. JMP까지 F7 4. OEP : 00401360 확인. 5. OEP 부분에서 OllyDump. 언팩된 파일을 IDA로 열어보니, 비교함수 (strcmp)앞에 비밀번호 같은 문자 발견 : AD46DFS547 답 : 00401360AD46DFS547

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 이 프로그램의 등록키는 무엇인가 파일에 대한 이해 EP:0x55BB0 ImageBase:0x400000 시리얼 넘버가 틀리면 Wrong Serial, try again! 뜬다. UPX 패킹되어있다. OllyDbg로 열었을 때, 처음에 나오는 PUSHAD 명령어로 보아 UPX 패킹되어있는 것을 알 수 있다. 패킹된 파일의 EP에 PUSHAD 명령어로 레지스트리 값들을 스택에 넣고 패킹을 풀고 POPAD 명령어로 앞서 스택에 넣어두었던 레지스트리 값들을 복원시킨다.. PUSHAD~POPAD사이에 합축해제 코드가 실행되고 POPAD 이후 JMP명령어를 통해 OEP로 이동한다.(OEP는 패킹된 파..

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고 있다. 디버거를 탐지하는 함수의 이름은 무엇인가 파일에 대한 이해 ImageBase : 0x100000 EP : 0x1000 IsDebuggerPresent 함수 -디버거가 아니면 0 -디버거면 0이 아닌 값. 문제 풀이 나는 올리디버거로 돌려도 정상으로 나오는데 어찌된 일인지 해서 리버싱 선배님들한테 물어보니! 올리디버거를 플러그인으로 패치한 것 같다고, 올리디버거 홈페이지에서 오리지널 버전으로 다운로드 받아서 시도해보라고 하셨습니다! 생각해보니 이 올리디버거는 악성코드 분석 교육받을 때 받은 거라서 IsDebuggerPresent함수..

오류 및 증상 the virtual printing feature is globally disabled on this system, and will not be enabled for ... virtual device 'serial0' will start disconnected 화면과 마우스가 일치하지 않는 증상이 나온다. 원인 vmware에서 프린트와 관련된 설정파일에 FALSE로 되어 있기 때문에 에러가 뜬다. 해결방법 C:\ProgramData\VMware\VMware Workstation 폴더에 settings.ini파일을 변경해주기 settings.ini파일 새로 만들어서 덮어씌워줘야한다.(권한 문제 때문이다) 내용은 printers.enabled = "TRUE" 로 해준다.

보호되어 있는 글입니다.

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 비주얼베이직에서 스트링 비교함수 이름은? 파일에 대한 이해 EP : 0x1000 ImageBase : 0x400000 변기통 아이콘의 실행파일을 클릭하면 Entferne diesen nag, oder bekomme das richtige passwort heraus!(독일어...) ->Remove this nag or get a valid password! ->이 잔소리를 제거하거나 올바른 암호를 얻으십시오! Error! Das Passwort ist falsch! ->Error! The password is invalid! ->오류! 암호가 잘못되었어! 문제 풀이 비주얼베이직에 사용하는 ..