반응형
Reversing 검색 결과
25 개의 검색 결과가 있습니다.
Reversing

OllyDBG를 이용한 지뢰찾기 지뢰위치 확인

OllyDBG를 이용한 지뢰찾기 지뢰위치 확인 지뢰찾기 파일은 똑같은 것을 사용한다. 이번에도 ollyDBG를 통해 리버스 엔지니어링을 해보자.지뢰 찾기 게임에서 도움말이 실행이 되면 지뢰가 보이도록 만들것이다.지뢰찾기 게임에서 도움말 실행 시 동작하는 NTHelp.chm를 찾아서 함수를 디버깅한다.IDA등 다른 툴을 이용하여 찾을 수도 있다. Search for -> all referenced text strings에서NThelp.chm을 찾아서 클릭한다. 도움말이 위의 주소부터 시작하는데 여기서 JUMP로 지뢰를 보여주는 함수로 갈 것이다. 여기서 01003D76은 Help 시작지점이고 01003DF2는 Help의 종료지점이다. 01002F80은 지뢰를 보여주는 함수의 시작지점이다.PUSH 0A CA..

2017. 8. 22. 17:05
Reversing

OllyDBG를 이용한 지뢰찾기 시간흐름 변경

OllyDBG를 이용한 지뢰찾기 시간 변경 옛날버전 지뢰찾기를 이용하여 시간의 흐름을 느리게 바꾸어 볼 것이다. 우클릭 -> Search for -> all intermodular calls 프로그램이 호출하는 모듈이나 함수등을 나열해준다. SetTimer를 찾고, 더블클릭을 한다. 위의 PUSH 3E8을 찾는다. 1000.ms는 1초를 나타내므로 이 값을 바꾸면 시간을 천천히 가게 할 수 있다.10000을 16진수로 바꾸면 2710이다. 2710으로 바꾸고 F9(실행)를 누른다. 지뢰찾기를 시작하면 오른쪽에 있는 숫자가 느리게 가는 것을 확인 할 수 있다.

2017. 8. 22. 16:44
Reversing

악성코드 분석을 위한 리버스 엔지니어링 - 기본지식2

악성코드 분석을 위한 리버스 엔지니어링 - 기본지식2 문법별 어셈블리어 이해1.PUSH EBP2.MOV EBP,ESP3.Sub ESP,0C4.MOV DWORD PTR:SS[ebp-4],25.MOV DWORD PTR:SS[ebp-8],46.MOV EAX,DWORD PTR SS:[ebp-4]7.ADD EAX,DWORD PTR SS:[ebp-8]8.MOV DWORD PTR SS:[ebp-c],EAX9.MOV ECX,DWORD PTR SS:[ebp-C]10.PUSH ECX11.PUSH basic.002E20EC12.CALL DWORD PTR DS:[]13.ADD ESP,814.XOR Eax,EAX15.MOV ESP,EBP16.POP EBP 17.RETN 각 라인 별 해석 // 실제 컴파일시 위와 같이 안나올 가..

2017. 8. 22. 15:50
Reversing

악성코드 분석을 위한 리버스 엔지니어링 - 기본지식

악성코드 분석을 위한 리버스 엔지니어링 - 기본지식 진수, 보수숫자를 표현하는 방법수를 셀 때 자리수가 올라가는 단위를 기준으로 하는 셈법2진수, 10진수, 16진수 등이 있다. 음수 표현을 위해 사용1의 보수 : 숫자를 반전2의 보수 : 1의 보수에 +1구분 방법 : 최상위 비트가 0이면 양수, 1이면 음수뺄셈 연산 : 보수를 취하고 더한다. 엔디안 빅 엔디언 : 작은 것을 큰 것으로 배열 장점 : 사람이 보기 편함. 디버깅에 좋음 용도 : RISC 계열 CPU, 네트워크 프로토콜 RISC : 축약형 명령어 적합 구조 - 적은 수의 컴퓨터 명령어로 수행할 수 있게 설계리틀 엔디언 : 큰 것에서 작은 것으로 배열 장점 : 산술 연산과 데이터 타입의 확장/축소에 효율 용도 : Intel x86계열의 CPU..

2017. 8. 22. 15:01
Reversing

압축_집(Zip)구조 형태 원리 분석

ZIP 파일 형식이란 데이터를 압축, 보관하기 위한 파일형식이다. ZIP 파일은 하나 혹은 여러 개의 파일들을 그 크기를 줄여 압축하고 하나로 묶어 저장한다. ZIP 파일 형식에서는 다양한 종류의 압축 알고리즘의 사용이 가능하나, 2009년 현재 Deflate 알고리즘만이 가장 많이 사용되고 지원되는 압축 알고리즘이다.파일 형식은 1989년 필 캐츠가 PKZIP에서 사용하기 위해 만들어진 것으로, Thom Henderson의 ARC 파일 압축 형식을 발전시킨 것이다. 현재도 PKZIP 형식은 PKZIP뿐만 아닌 다른 많은 유틸리티 소프트웨어에서 지원하고 있다. 마이크로소프트사는 1998년도부터 "압축 폴더"라는 이름으로 운영 체제에 포함시켜 지원하고 있으며, 애플사는 맥 오에스 텐 10.3버전부터 지원하..

2016. 7. 18. 14:14
반응형