Jaden's Note Jaden's Note

디버그 심볼 파일이란? - 실행 파일을 빌드할 때 생성되는 디버그용 정보 파일로 실행파일 안에 존재하는 함수나 변수들의 이름과 위치, 소스파일, 소스라인 정보를 가지고 있다 .pdb를 확장자로 가지고 있으며 소스라인 디버깅을 가능하게 한다 Visual Studio를 사용하는 경우 기본적으로 Debug 빌더 설정이 되어있기 때문에 Symbol 파일이 자동으로 생성되고 디버깅이 가능하다 그리고 일반 회사에서 고객을 위한 프로젝트를 하는 경우 Release를 위해 Release빌더를 하게 되는데 이 경우엔 자동으로 생성되지 않으며 Symbol을 유지하지도 않는다 하지만, 마이크로소프트에서는 운영체제에서 발생하는 문제를 좀 더 쉽게 풀어나가기 위해 Symbol을 공개하고 있다 * 제품이 고객들에게 릴리즈 되기시..

덤프파일 이란? - 윈도우의 커널 모드에서 문제가 발생하면 화면상에 Crash를 알리는 블루스크린이 뜨면서 해당 시스템 드라이브에 루트(c:\)에 페이지파일에 내용을 쓰게 된다. 이 파일을 재부팅할 때 memory.dmp 파일로 생성하는데 이를 덤프파일이라 부른다 덤프 파일에는 Crash 당시 메모리 상태를 그대로 저장해 놓기 때문에 포스트모텀 디버깅으로 활용하여 같은 에러가 재차 발생하는 것을 막을 수 있다 최근의 노트북이나 데스크탑의 경우 메모리가 2GB가 넘는 경우가 많아 커널덤프와 미니덤프만 사용하게 되어있으며 미니덤프는 128KB의 크기를 가지며 레지스터, 콜 스택, 프로세스 정보, 스레드 정보, 오류가 발생한 시점에 접근했던 메모리 일부만을 저장한다 실제 커널자체의 에러가 아니라 어플리케이션에..

범용 레지스터 EAX ( Extended Accumulator Register ) 곰셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴값이 저장되는 용도로 사용된다. EBX ( Extended Base Register ) ESI나 EDI와 결합하여 인덱스에 사용된다. ECX ( Extended Conter Register ) 반복 명령어 사용시 반복 카운터로 사용된다. ECX 레지스터에 반복할 횟수를 지정해놓고 반복 작업을 수행하게 된다. EDX ( Extended Data Register ) EAX와 같이 쓰이며 부호 확장 명령 등에 쓰인다. ESI ( Extended Source Index ) 데이터 복사나 조작시 Source Data의 주소가 저장된다. ESI 레지스터가 가리키는 주소의 데이터를 E..

1. WinDBG 커널모드 디버거 http://www.microsoft.com/whdc/devtools/debugging/installx86.Mspx 무료 다운 사이트 http://core.ahnlab.com/137 (안랩 블로그를 참고) 필자는 리버싱 초보자로써 이제 리버싱을 위한 기초 툴 학습을 마무리하였습니다. 앞으로는 리버싱 폴더에 포스팅을 자주하진 못하겠지만, 좀 더 고급기술을 연마해서 포스팅 할 예정입니다 열공~

1. process monitor - filemon과 regmon의 공식통합판으로 2009년 이후 filemon과 regmon은 패치가 중단되었다 - 각 태스크의 어플리케이션이 파일과 레지스트리를 어떻게 사용하는지 실시간으로 모니터링 하는 프로그램이다 - 읽기, 쓰기, 삭제 등 모든 행동을 모니터링 해준다 - 항목에 오른쪽 마우스키를 눌렀을 때 나타난 메뉴 Jump to : 해당 레지스트리의 위치로 파일탐색기가 실행된다 Include : 해당 프로세스명이 포함된 로그만 보이도록 한다 Exclude : 해당 프로세스명을 제외한 모든 로그가 보이도록 한다 Highlight : 해당 프로세스명이 포함된 로그를 옵션에서 지정한 색깔로 포인트를 준다 http://wooica.tistory.com/4 (참고사이트,..

Universal Extractor - 기본적인 rar,zip 과 같은 압축파일에서 부터 exe까지 언패킹이 가능한 툴로 프리웨어이며 언패킹 통합툴의 대표주자 - putty.exe 언패킹하기 - 3가지 옵션이 있다 - 언패킹 완료! 쉽다 ㅋ

디 컴파일러 - 역으로 컴파일하여 어셈블리어 코드나 리소스파일을 추출한다 1. 바이너리 분석 툴을 사용하여 컴파일러를 확인한다 2. 바이너리 패킹이 되어있을시 언패킹한다 3. 디 컴파일러를 실행시킨다 자바, 델파이, 플래시, 닷넷 등 각 컴파일러 별로 디 컴파일러 프로그램이 있다. 구글링을 활용하여 최신 디 컴파일러를 유지하도록 하는것이 좋겠다 필자의 참고사이트 : http://dakuo.egloos.com/1112168

1. dumpbin - 본인의 컴퓨터에 Microsoft visual studio가 설치되어 있어야 합니다. Visual Studio 6.0이 설치되어있다면 자동으로 PATH가 설정되어 있으므로 cmd 창에 dumpbin을 입력하면 Option 목록이 나옵니다 - dumpbin /exports user32.dll을 입력한 결과이다 (dll파일을 바이너리 분석하는 명령어) 그외 옵션들 /ALL : 코드의 offset, hex, string 값을 모두 표시한다 /ARCHIVEMEMBERS : 해당 파일에 대한 최소 정보를 표시한다 /DEPENDENTS : 사용하는 dll 파일의 이름을 보여준다 /DIRECTIVES : 컴파일러가 생성한 이미지의 .DRECTIVE 섹션을 덤프한다 /DISASM : 파일을 di..