Jaden's Note Jaden's Note

덤프파일 이란? - 윈도우의 커널 모드에서 문제가 발생하면 화면상에 Crash를 알리는 블루스크린이 뜨면서 해당 시스템 드라이브에 루트(c:\)에 페이지파일에 내용을 쓰게 된다. 이 파일을 재부팅할 때 memory.dmp 파일로 생성하는데 이를 덤프파일이라 부른다 덤프 파일에는 Crash 당시 메모리 상태를 그대로 저장해 놓기 때문에 포스트모텀 디버깅으로 활용하여 같은 에러가 재차 발생하는 것을 막을 수 있다 최근의 노트북이나 데스크탑의 경우 메모리가 2GB가 넘는 경우가 많아 커널덤프와 미니덤프만 사용하게 되어있으며 미니덤프는 128KB의 크기를 가지며 레지스터, 콜 스택, 프로세스 정보, 스레드 정보, 오류가 발생한 시점에 접근했던 메모리 일부만을 저장한다 실제 커널자체의 에러가 아니라 어플리케이션에..

범용 레지스터 EAX ( Extended Accumulator Register ) 곰셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴값이 저장되는 용도로 사용된다. EBX ( Extended Base Register ) ESI나 EDI와 결합하여 인덱스에 사용된다. ECX ( Extended Conter Register ) 반복 명령어 사용시 반복 카운터로 사용된다. ECX 레지스터에 반복할 횟수를 지정해놓고 반복 작업을 수행하게 된다. EDX ( Extended Data Register ) EAX와 같이 쓰이며 부호 확장 명령 등에 쓰인다. ESI ( Extended Source Index ) 데이터 복사나 조작시 Source Data의 주소가 저장된다. ESI 레지스터가 가리키는 주소의 데이터를 E..

1. WinDBG 커널모드 디버거 http://www.microsoft.com/whdc/devtools/debugging/installx86.Mspx 무료 다운 사이트 http://core.ahnlab.com/137 (안랩 블로그를 참고) 필자는 리버싱 초보자로써 이제 리버싱을 위한 기초 툴 학습을 마무리하였습니다. 앞으로는 리버싱 폴더에 포스팅을 자주하진 못하겠지만, 좀 더 고급기술을 연마해서 포스팅 할 예정입니다 열공~

1. process monitor - filemon과 regmon의 공식통합판으로 2009년 이후 filemon과 regmon은 패치가 중단되었다 - 각 태스크의 어플리케이션이 파일과 레지스트리를 어떻게 사용하는지 실시간으로 모니터링 하는 프로그램이다 - 읽기, 쓰기, 삭제 등 모든 행동을 모니터링 해준다 - 항목에 오른쪽 마우스키를 눌렀을 때 나타난 메뉴 Jump to : 해당 레지스트리의 위치로 파일탐색기가 실행된다 Include : 해당 프로세스명이 포함된 로그만 보이도록 한다 Exclude : 해당 프로세스명을 제외한 모든 로그가 보이도록 한다 Highlight : 해당 프로세스명이 포함된 로그를 옵션에서 지정한 색깔로 포인트를 준다 http://wooica.tistory.com/4 (참고사이트,..

Universal Extractor - 기본적인 rar,zip 과 같은 압축파일에서 부터 exe까지 언패킹이 가능한 툴로 프리웨어이며 언패킹 통합툴의 대표주자 - putty.exe 언패킹하기 - 3가지 옵션이 있다 - 언패킹 완료! 쉽다 ㅋ

디 컴파일러 - 역으로 컴파일하여 어셈블리어 코드나 리소스파일을 추출한다 1. 바이너리 분석 툴을 사용하여 컴파일러를 확인한다 2. 바이너리 패킹이 되어있을시 언패킹한다 3. 디 컴파일러를 실행시킨다 자바, 델파이, 플래시, 닷넷 등 각 컴파일러 별로 디 컴파일러 프로그램이 있다. 구글링을 활용하여 최신 디 컴파일러를 유지하도록 하는것이 좋겠다 필자의 참고사이트 : http://dakuo.egloos.com/1112168

1. dumpbin - 본인의 컴퓨터에 Microsoft visual studio가 설치되어 있어야 합니다. Visual Studio 6.0이 설치되어있다면 자동으로 PATH가 설정되어 있으므로 cmd 창에 dumpbin을 입력하면 Option 목록이 나옵니다 - dumpbin /exports user32.dll을 입력한 결과이다 (dll파일을 바이너리 분석하는 명령어) 그외 옵션들 /ALL : 코드의 offset, hex, string 값을 모두 표시한다 /ARCHIVEMEMBERS : 해당 파일에 대한 최소 정보를 표시한다 /DEPENDENTS : 사용하는 dll 파일의 이름을 보여준다 /DIRECTIVES : 컴파일러가 생성한 이미지의 .DRECTIVE 섹션을 덤프한다 /DISASM : 파일을 di..

리버싱 과정 중에서 가장 먼저 해야 하는 바이너리 분석에 대해 알아본다. 바이너리 분석 툴이란? 어떤 Packer를 이용해서 Binary를 Packing 했는지, 어떤 언어로 제작되었는지 알아 볼 때 사용한다. PEID 툴 - http://www.peid.info/ (오픈소스 사이트) 다중 스캔, EP Section, Disassembler, First Bytes 등을 지원한다. ※ 요즘 Packer에는 Hide Frome PE Scanner 기능들이 내장 되어 있어서 스캔되지 않는 경우가 있으므로 보조수단으로 활용한다. Exeinfo pe 툴 - PEID와 비슷하다. 리소스 해커 - http://www.angusj.com/resourcehacker/ 리소스를 분석해야 하는 경우에 사용되는 툴로서 프로그..