Jaden's Note Jaden's Note

범용 레지스터 EAX ( Extended Accumulator Register ) 곰셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴값이 저장되는 용도로 사용된다. EBX ( Extended Base Register ) ESI나 EDI와 결합하여 인덱스에 사용된다. ECX ( Extended Conter Register ) 반복 명령어 사용시 반복 카운터로 사용된다. ECX 레지스터에 반복할 횟수를 지정해놓고 반복 작업을 수행하게 된다. EDX ( Extended Data Register ) EAX와 같이 쓰이며 부호 확장 명령 등에 쓰인다. ESI ( Extended Source Index ) 데이터 복사나 조작시 Source Data의 주소가 저장된다. ESI 레지스터가 가리키는 주소의 데이터를 E..

1. WinDBG 커널모드 디버거 http://www.microsoft.com/whdc/devtools/debugging/installx86.Mspx 무료 다운 사이트 http://core.ahnlab.com/137 (안랩 블로그를 참고) 필자는 리버싱 초보자로써 이제 리버싱을 위한 기초 툴 학습을 마무리하였습니다. 앞으로는 리버싱 폴더에 포스팅을 자주하진 못하겠지만, 좀 더 고급기술을 연마해서 포스팅 할 예정입니다 열공~

1. process monitor - filemon과 regmon의 공식통합판으로 2009년 이후 filemon과 regmon은 패치가 중단되었다 - 각 태스크의 어플리케이션이 파일과 레지스트리를 어떻게 사용하는지 실시간으로 모니터링 하는 프로그램이다 - 읽기, 쓰기, 삭제 등 모든 행동을 모니터링 해준다 - 항목에 오른쪽 마우스키를 눌렀을 때 나타난 메뉴 Jump to : 해당 레지스트리의 위치로 파일탐색기가 실행된다 Include : 해당 프로세스명이 포함된 로그만 보이도록 한다 Exclude : 해당 프로세스명을 제외한 모든 로그가 보이도록 한다 Highlight : 해당 프로세스명이 포함된 로그를 옵션에서 지정한 색깔로 포인트를 준다 http://wooica.tistory.com/4 (참고사이트,..

Universal Extractor - 기본적인 rar,zip 과 같은 압축파일에서 부터 exe까지 언패킹이 가능한 툴로 프리웨어이며 언패킹 통합툴의 대표주자 - putty.exe 언패킹하기 - 3가지 옵션이 있다 - 언패킹 완료! 쉽다 ㅋ

디 컴파일러 - 역으로 컴파일하여 어셈블리어 코드나 리소스파일을 추출한다 1. 바이너리 분석 툴을 사용하여 컴파일러를 확인한다 2. 바이너리 패킹이 되어있을시 언패킹한다 3. 디 컴파일러를 실행시킨다 자바, 델파이, 플래시, 닷넷 등 각 컴파일러 별로 디 컴파일러 프로그램이 있다. 구글링을 활용하여 최신 디 컴파일러를 유지하도록 하는것이 좋겠다 필자의 참고사이트 : http://dakuo.egloos.com/1112168

1. dumpbin - 본인의 컴퓨터에 Microsoft visual studio가 설치되어 있어야 합니다. Visual Studio 6.0이 설치되어있다면 자동으로 PATH가 설정되어 있으므로 cmd 창에 dumpbin을 입력하면 Option 목록이 나옵니다 - dumpbin /exports user32.dll을 입력한 결과이다 (dll파일을 바이너리 분석하는 명령어) 그외 옵션들 /ALL : 코드의 offset, hex, string 값을 모두 표시한다 /ARCHIVEMEMBERS : 해당 파일에 대한 최소 정보를 표시한다 /DEPENDENTS : 사용하는 dll 파일의 이름을 보여준다 /DIRECTIVES : 컴파일러가 생성한 이미지의 .DRECTIVE 섹션을 덤프한다 /DISASM : 파일을 di..

리버싱 과정 중에서 가장 먼저 해야 하는 바이너리 분석에 대해 알아본다. 바이너리 분석 툴이란? 어떤 Packer를 이용해서 Binary를 Packing 했는지, 어떤 언어로 제작되었는지 알아 볼 때 사용한다. PEID 툴 - http://www.peid.info/ (오픈소스 사이트) 다중 스캔, EP Section, Disassembler, First Bytes 등을 지원한다. ※ 요즘 Packer에는 Hide Frome PE Scanner 기능들이 내장 되어 있어서 스캔되지 않는 경우가 있으므로 보조수단으로 활용한다. Exeinfo pe 툴 - PEID와 비슷하다. 리소스 해커 - http://www.angusj.com/resourcehacker/ 리소스를 분석해야 하는 경우에 사용되는 툴로서 프로그..

리버싱을 위해서 툴을 사용하는 기본적인 순서는 다음과 같다. 1.바이너리 분석 2.문자열 분석 및 Api와 Event분석 3.모니터링을 통한 파일 및 레지스트리, 네트워크 패킷 분석 4.디스어셈블러나 디버거를 이용한 분석 - 분석할 파일을 PEID와 같은 바이너리 분석 툴을 사용하여 패킹 여부와 컴파일러, 어떤 언어로 코딩 되어있는지를 확인한다. 그리고 언패킹을 디버거 툴을 사용하여 수동으로 할 것인지 툴을 사용하여 자동으로 할것인지 정한다. - 문자열과 사용한 Api는 무었인지 주요 이벤트 시점에 대해서 분석한다. - 프로그램이 어떤 파일들과 접촉하는지, 어느 위치의 레지스트리를 사용하는지 모니터링을 한다. 그리고 외부 시스템과의 패킷 교환도 모니터링 한다. - 마지막으로 디스어셈블을 통해 얻어진 어셈..