Jaden's Note Jaden's Note

리버싱 과정 중에서 가장 먼저 해야 하는 바이너리 분석에 대해 알아본다. 바이너리 분석 툴이란? 어떤 Packer를 이용해서 Binary를 Packing 했는지, 어떤 언어로 제작되었는지 알아 볼 때 사용한다. PEID 툴 - http://www.peid.info/ (오픈소스 사이트) 다중 스캔, EP Section, Disassembler, First Bytes 등을 지원한다. ※ 요즘 Packer에는 Hide Frome PE Scanner 기능들이 내장 되어 있어서 스캔되지 않는 경우가 있으므로 보조수단으로 활용한다. Exeinfo pe 툴 - PEID와 비슷하다. 리소스 해커 - http://www.angusj.com/resourcehacker/ 리소스를 분석해야 하는 경우에 사용되는 툴로서 프로그..

리버싱을 위해서 툴을 사용하는 기본적인 순서는 다음과 같다. 1.바이너리 분석 2.문자열 분석 및 Api와 Event분석 3.모니터링을 통한 파일 및 레지스트리, 네트워크 패킷 분석 4.디스어셈블러나 디버거를 이용한 분석 - 분석할 파일을 PEID와 같은 바이너리 분석 툴을 사용하여 패킹 여부와 컴파일러, 어떤 언어로 코딩 되어있는지를 확인한다. 그리고 언패킹을 디버거 툴을 사용하여 수동으로 할 것인지 툴을 사용하여 자동으로 할것인지 정한다. - 문자열과 사용한 Api는 무었인지 주요 이벤트 시점에 대해서 분석한다. - 프로그램이 어떤 파일들과 접촉하는지, 어느 위치의 레지스트리를 사용하는지 모니터링을 한다. 그리고 외부 시스템과의 패킷 교환도 모니터링 한다. - 마지막으로 디스어셈블을 통해 얻어진 어셈..

PE 파일 포맷 먼저 PE HEADER 이해를 돕기 위해 PE 파일 포맷이 무엇인지 이해할 필요가 있다. PE 파일 포맷은 윈도우 운영체제에서 정의한 파일 포맷으로 Portable Executable의 약자다. PE 파일 포맷의 구조만 가지고도 책 한 권을 쓸 수 있는 분량이기에 필자의 글에서는 필요한 정보만을 다룰 것이다. 더 깊이있게 공부하고 싶은 독자는 MSDN과 관련된 책들을 참고하기를 먼저 알려둔다. 우리가 흔히 윈도우에서 접하는 확장자중 PE 파일 포맷으로 작성된 파일은 EXE, SCR, DLL, OCX, SYS, OBJ가 있으며, 직접 실행 가능한 EXE를 제외한 나머지 파일 종류중 OBJ를 제외하고는 간접적(서비스, 디버깅, 레지스트리 등)으로 실행이 가능한 파일들이다. 은 오래전 MSDN..

Ollydbg 설치 & 설정 1. Ollydbg download http://www.ollydbg.de ※ plug-in site : http://www.tuts4you.com 2. Default setting - UDD 폴더 생성 -> 브레이크 포인트 지점, 사용자 설명 등 디버깅 설정 저장 - Plugin 폴더 생성 -> 플러그인 파일들 저장 - win32.hlp download ( http://www.tuts4you.com/download.php?view.258 ) or 구글링 win32api, win32.hpl 하여 Ollydbg 폴더 에 넣어준다. - cmdline.dll, BOOKMARK.DLL은 Plugin 폴더로 넣어준다. - Ollydbg.exe 실행 -> Options -> Appear..