EASY7

실습환경 VMware Workstation OS : Window XP 사용툴 HxD Editor 문제 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 파일에 대한 이해 -EXE 실행파일 실행파일이 손상되어 NTHeader에서 PE 시그니쳐를 발견할 수 없다. -ImageBase : ? -Entry Point : ? PE 시그니쳐를 발견하지 못해.. 실행도, 올리디버거도, 아이다도 이용할 수 없다.. 문제 풀이 HxD Editor로 함수 이름, 문자열들을 볼 수 있었다. JK3FJZh 이 패스워드처럼 생겨서 Auth 에 입력해보니 성공!

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) 문제 HDD를 CD-Rom으로 인식시키기 위해서는 GetDriveTypeA의 리턴값이 무엇이 되어야 하는가 파일에 대한 이해 -EXE 실행파일 -ImageBase : 0x400000 -Entry Point : 0x1000 -클릭 시 연속적인 메세지 박스가 뜬다. -GetDriveTypeA 함수의 리턴값을 변경해주면 CD-Rom이 있다고 착각하게 할 수 있을 것이다. 문제 풀이 1.GetDriveTypeA는 CD ROM의 유무를 알려주는 함수로 추정된다. 리턴값은 EAX레지스터에 저장되며 3이다. 2. 리턴값은 EAX에 저장되며, 그 후 값이 변경된다. ESI는 세 번 1씩 증가하고 EAX는 두번 1씩 감소한..

사전 조사 Image Base: 0x400000 Entry Point : 0x401188

C언어로 작성된 두 수를 더해서 리턴해주는 함수를 분석해보자. #include int sum(int a, int b){ return a + b; } int main{ int result; result = sum(9 + 4); printf(result); } 1. HxD 또는 010 editor를 이용해 사전 조사하기 ImageBase 0x00400000 entrypoint 0x00401061 .text, rdata의 virtual address(RVA)? .text 의 RVA 1000 .rdata 의 RVA 5000 메모리에 실제 로드되는 주소는? .text의 실제 메모리에 로드되는 주소 0x00401000 .rdata의 실제 메모리에 로드되는 주소 0x00405000 RegisterExample.exe..

msdn 검색하기 FindResourceA LoadResource LoadLibrary : 라이브러리 로드 LockResource FreeResource GetProcAddress: 내가 지정한 모듈(라이브러리)에서 함수의 주소를 알기. OpenProcess : 프로세스의 핸들 가져오기. VirtualAllocEx : 할당할 주소 WriteProcessMemory : 이 프로세스 메모리에 적기 CreateRemoteThread :쓰레드 갖기 GetProcAddress:

010 editor 란 1. text editing 기능 text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code 편집 코드 하이라이트 기능 50GB까지 파일 지원 2. binary 파일을 사람이 읽을 수 있는 형태로 변형해준다(HxD와 비슷) 3. 다양한 template 적용하여 데이터를 파싱할 수 있다. template 다운로드 받기 https://www.sweetscape.com/010editor/repository/templates/file_info.php?file=EXE.bt&type=0&sort= 3-1. templates- view installed templates 3-2. template add 3-3. run template ..

Unix 시간 1970년 1월 1일 00:00:00 협정 세계시(UTC) 부터의 경과 시간을 초로 환산하여 정수로 나타낸 것 이 유한한 정수 변수에 무한한 시간을 담을 수 있을까? 오버플로우 문제가 발생할 수 있다. 32비트 운영체제에서는 time-t자료형이 32bit 정수이다. 2^31-1초가 지나는 2038년 1월 19일 화요일 03:14:07 UTC가 오면 오버플로우가 발생해서 초기값(0)이 되어버리고 1970년 또는 1901년으로 돌아가서 32비트 유닉스 장비는 모두 장애가 난다. (Year 2038 Problem, Unix Millennium bug) 해결법은 장비들을 64비트로 바꾸는 것이다. 19년 후면 모두 64비트가 되어 있지 않을까? ** Unix 시간 -> 일반 시간 변환 사이트 ht..

PE 구조에 대한 이해 PE파일은 윈도우에 해당하는 파일 포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx확장자가 있다. 실행파일 계열 : EXE, SCR(screen saver) 라이브러리 계열 : DLL, OCX(Active X) 드라이브 계열 : SYS 오브젝트 파일 계열: OBJ PE 구조에서 사용되는 용어 -ImageBase : 실행 파일이 메모리에 로드 될 때 주소 -Entry Point(EP) : 실행 파일이 메모리에 로드 된 후 처음 실행되는 주소 -Alignment : 각 섹션에 할당된 공간 일반적으로 섹션에 1000이 할당되며, 파일에는 200이 할당된다. RVA(Relative Virtual Address) : 메모리에 로드될 때, Image..