PEView.exe

tool 2013.01.27 20:20

PEView.exe 파일입니다.



PEview.exe



제작자의 홈페이지(http://www.magma.ca/~wjr)가 폐쇄되었네요. 

아쉽게도 추가 개발은 없을 것 같네요.


저작자 표시 비영리 변경 금지
신고

'tool' 카테고리의 다른 글

PEView.exe  (23) 2013.01.27
HxD.exe 기능 추가!  (12) 2012.06.14
리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
InjDll.exe – DLL Injection/Ejection 전용 도구  (71) 2010.03.15
Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
www.virustotal.com  (3) 2009.03.20
www.google.com  (2) 2009.03.06
  1. XeroNic(HS) 2013.01.29 13:15 신고 댓글주소 | 수정 | 삭제 | 댓글

    ㅎㅎ 살짝 찾아봤는데~~
    http://wjradburn.com/software
    이 쪽으로 옮긴 모양이에요...^^;;;

  2. 매지구름 2013.03.04 20:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    직접 제블로그에 댓글까지 남겨 주시고 영광입니다..^^
    더 열심히 해야겠다는 생각이 듭니다.
    눈물이 나는군요 ...ㅠ
    일취월장하시길 "진심"으로 바랄께요.....^__^

  3. 질문이요 2013.03.14 19:00 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 !
    리버싱 핵심 원리 책을 사서 열심히 독학중입니다 ㅋ
    공부중에 벽이 생겼네요..
    RVA = 5000일 때 File Offset = ?
    여기서 .. 이해가 안 되네요
    여기 RVA 5000는 첫 번째 섹션(.text)에 속해 있다는데
    어디가 .text인지 잘 모르겠네요
    뭐랄까 어디가 Dos header이고 어디가 NT header인지 잘 모르겠습니다
    저 눈에 보이는 건 오직 기계어네요..
    혹시 설정 같은 게 있나요?
    뭐가 뭔지 기준을 모르겠습니다.
    비례식 사용해서 답이
    RAW = 5000(RVA) - 1000(VirtualAddress) + 400(PointerToRawData) = 4400 이라고 답이 적혀 있는데요..
    1000이 왜 나오고 400이 왜 나오는지 모르겠어요
    힌트만이라도 주세욤!
    HxD로 보고 있는데.. 혹시 이거 말고 다른 프로그램으로 보는건가요?

    • 간단한 답글입니다. 2013.03.17 21:24 신고 댓글주소 | 수정 | 삭제

      [그림 13.9]를 확인해 보시면 될 것 같습니다.
      각 섹션의 offset, DOS hearder, NT header가 다 있네요.
      다시 한번 책을 정독하면서 차근차근 따라하시면 금방 해결하실 수 있을 것 같습니다.
      1000(VA)는 [<Memory>의 .text섹션의 시작 offset(01001000) - ImageBase(01000000)] 입니다.
      400(PointerToRawData)는 <File>의 .text섹션의 시작 offset(00000400) 이고요.

    • reversecore 2013.04.01 22:24 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      위에 답변해 주신분께 감사드립니다. ^^

      네, PEView 라는 프로그램이 있구요. 그건 조금 뒤에서 설명이 나옵니다.

      지금 보시는 단계에서는 그림 13.8과 코드 13.11 만으로 그림 13.9를 그려내는 것이 목표입니다. ^^

      감사합니다.

  4. 에쿱 2013.03.15 14:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱 작업에 관심이 있어서 글 올립니다.
    같이 작업하시면서 공부하실 분 없나요?

  5. ABC 2013.03.19 18:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    upx 패커하고나고패커된파일은어디에저장되는건가요 예) notepad_upx.exe 로 저장되는거같던데어디경로에저장되어있는지모르겠네요분명사이즈 67584 -> 48128로 되었는데ㅋ

    • reversecore 2013.04.01 22:25 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      원본 파일이 그대로 실행 압축된 것입니다. ^^
      (notepad_upx.exe 는 제가 이름을 바꿔준 것이고요.)

      감사합니다.

  6. 2013.04.05 18:41 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  7. 에그머니 2013.04.10 13:29 신고 댓글주소 | 수정 | 삭제 | 댓글

    작가님 책 잘보았습니다
    설명이 하나하나 이렇게 자세히해도 되나싶을정도로 잘돼있어서
    아무것도모르는 저도 책을 완독할수 있었습니다
    그런데 질문할데가 없어서 요기다 질문하는데 질문좀 받아주세요 ㅜㅜ
    자바기반의 안드로이드프로그램 리버싱을하려면 자바부터 배워야 하나요?
    안드로이드 프로그램은 내부소스가 c언어와 어셈블리어로 안나타나나요?

  8. 2013.04.26 20:58 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  9. jungmonster 2013.05.13 03:07 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 리버싱 핵심원리에서 dll인젝션을 공부하던중 잘 되지 않아서 질문을 올려요.. 어디에 해야할지 잘 모르겠어서요 죄송해요 ㅠ.

    제가 여기서 젤 처음에 있는 notepad.exe 에 키보드 메세지 후킹 실습을 따라 하고 있는데요
    안되드라구요... 근데 왜 안되는건지 모르겠어요...
    일단 책에 따라서 다 했구요,
    process explorer에서 notepad.exe 에 keyhook.dll을 확인 까지 했습니다. 그런데 입력이 잘 되드라구요... ㄷㄷ....
    제가 궁굼한게 keyhook.dll 이 인젝션이 되었다는 말은 프로세스는 잘 찾았단 말이잔아요?
    그래서 제가 return CallNextHookEx() 부분을 주석처리 해 봤는데 이렇게 하니깐 전체에서 입력을 못받드라구요. 하 어디가 잘못된건지 모르겠어요 ㅠ 다음걸로도 못넘어 가겠어요ㅠ

  10. Chorowlhort 2013.05.21 15:15 신고 댓글주소 | 수정 | 삭제 | 댓글


    The base rate stays at its performance. Determine the cause is a prime consideration while buying. Thus, by Emily Zimmerman of being eaten alive by government", coming down. North Randolph Court, Bethesda, Md. Magazine editors suddenly get on our collective consciousness by magazines scrutinizing celebrities.

    The United States from its reliance on the wing. The Tennessee Vols, for me afterwards calling on the wrong message. But is the pay of the trucks so proper training? Nintendo is quite difficult. The world's largest hard-drive company.

  11. 감사합니다. 2013.05.30 17:24 신고 댓글주소 | 수정 | 삭제 | 댓글

    저는 책을 구매하여 공부중인 학생입니다... 그전에... 2년정도 어셈블리어 프로그래밍 공부를 했던텨라.. 이해는 쉽게쉽게 햇지만... 제가 궁금증이생긴게.. 저는 리버싱을 관련지어 직업을 삼고싶습니다만.. 그직업이 "정보 보안전문가" 이외에는 없는건가요??
    그리고 책내용이 이해를 쉽게 많은설명을 넣어주셔가지고 그냥 바로바로 이해가되네요...
    책 정말 잘쓰신것같습니다!!.. 그리고 안철수 연구소에서 일을 하신다 하셧는데...
    그럼 거쪽분은 정보보안 전문가 이신가요??

  12. 2013.07.01 22:19 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  13. 2013.10.15 15:57 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  14. 2013.10.23 18:54 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  15. 김진권 2013.11.04 21:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    눈팅만 몇년 하다가 드디어 책을 구입했습니다.
    네트워크 보안 업계에서 일하고 있는 사람인데요.
    계속 리버싱 족에 너무 관심이 가네요. ㅎㅎ
    차근 차근 해보겠습니다. ^^

  16. 김예은 2013.11.29 11:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    참 오랜만에 컴퓨터 관련 서적을 구입했네요.
    꼭 대학 새내기처럼 입학에 설레임을 갖게하는 과목인 것 같습니다.
    평생 재미진 놀이 하나 얻었다는 생각으로 서점에 가서 책의 분량을 보고는 친절한 블로그 내용은 미끼였단 말이였나 싶은 생각도 들었답니다.
    말씀데로 과욕과 조급함을 버리고 느긋이 공부하려 합니다.

  17. dfgdfg 2017.04.01 23:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  18. fgdfg 2017.04.06 04:17 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다


HxD.exe 기능 추가!

tool 2012.06.14 00:35

리버싱 기술을 조금 응용하면 다른 응용프로그램의 기능을 추가/변경시킬 수 있습니다. 


제가 애용하는 헥스 에디터 HxD.exe 에 필요한 기능을 살짝 추가하였습니다.



HxD.exe



DLL InjectionAPI Hooking 기술을 이용하여 HxD.exe 프로그램에 새로운 기능을 추가하였습니다.



제가 추가시킨 기능은 PE 파일 Offset 의 RVA 값을 계산해서 출력해 주는 것입니다. (위 그림 참고)


키보드나 마우스를 이용하여 커서 위치를 이동하면 Offset 값이 변함에 따라서 자동으로 그에 맞는 RVA 값이 계산되어 표시됩니다.



사용방법



HxD.exe  - Hex Editor

hxdhook.dll  - hooking dll

InjDll32.exe  - Injector

PEInfo.dll  - File Offset <->RVA converter



1. HxD.exe 실행


2. HxD 에서 아무 PE 파일을 오픈


3. InjDll32.exe 를 이용하여 HxD.exe 프로세스에 hxdhook.dll 을 인젝션





HxD.exe 프로세스에 hxdhook.dll 이 정상적으로 인젝션 되었다면 이제부터 프로그램 하단의 Status Bar 에 Offset 과 RVA 가 동시에 표시될 것입니다. 


크게 유용하다고 볼 수 는 없지만 리버싱 기술을 응용하여 기존 프로그램에 새로운 기능을 추가하는 방법을 잘 보여주는 예제라고 생각합니다. 필요하신 분께서는 자유롭게 가져다 쓰실 수 있습니다.



* 블로그에 리버싱 기술 응용편을 올리기 위해 준비한 간단한 시연입니다. 자세한 동작 원리, 후킹 과정, 모듈 개발 과정 등은 따로 포스팅 하도록 하겠습니다.



ReverseCore



저작자 표시 비영리 변경 금지
신고

'tool' 카테고리의 다른 글

PEView.exe  (23) 2013.01.27
HxD.exe 기능 추가!  (12) 2012.06.14
리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
InjDll.exe – DLL Injection/Ejection 전용 도구  (71) 2010.03.15
Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
www.virustotal.com  (3) 2009.03.20
www.google.com  (2) 2009.03.06
  1. rgs 2012.06.14 19:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    와 제가 댔글 처음인건가요 ?
    주인장님
    블로그 다시 시작하시는군요
    매일 들려보는 사람입니다.
    블로그 정말 재밋어요
    계속 열심히 해주세요

  2. 카이섹이 좋아 2012.06.14 20:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버스 코어님 ㅠ ㅠ 언제 책이.....

  3. 감염오리 2012.06.15 00:44 신고 댓글주소 | 수정 | 삭제 | 댓글

    드디어!!! 포스팅 재개인가요^^

  4. 마리오 2012.06.15 10:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    오호 포스팅 되었군요ㅎ
    책출판될거보다 포스팅된게 더 반가워요ㅎ

  5. db_click 2012.06.16 10:27 신고 댓글주소 | 수정 | 삭제 | 댓글

    항상 포스팅 감사히 보고 있습니다.

  6. 안녕하세요 2012.06.20 09:52 신고 댓글주소 | 수정 | 삭제 | 댓글

    책이 나오기만을 학수고대하고 있습니다.
    책 나오면 바로 살게요! ^^

  7. reversecore 2012.06.23 00:52 신고 댓글주소 | 수정 | 삭제 | 댓글

    관심 감사드립니다. ^^~

  8. Lr라 2013.03.04 14:47 신고 댓글주소 | 수정 | 삭제 | 댓글

    항상 포스팅 하신글 잘보고있습니다.
    음...~~~ 저걸 이용해서 헥스 만큼 바이트 채우고 시작되는 부분에 call로
    때려서 영역에서 불러와서 인라인 어셈으로 자동인젝션되도록 만들어야겟습니다 ㅎㅎ
    잘쓰겠습니다 ㅎㅎ

  9. absolujin 2013.05.02 15:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    전 이렇게 batch 파일 만들어서 사용하고 있어요.
    잘쓸께요. 감사합니다.
    --------------------------------------------------------------
    @echo off
    start Hxd.exe
    start InjDll32.exe HxD.exe -i hxdhook.dll

  10. yO Kang 2014.03.13 02:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    똑같이 했는데, 저는 "The token does not have the specified privilege" 이런 문구뜨면서 안되네요..
    뭐가 문제일까요?

  11. RBWSN 2016.02.25 06:36 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다



리버서들이 가장 많이 사용하는 도구인 디버거(Debugger)에 대해 이야기 해보도록 하겠습니다.


리버싱 현업에서 사용되는 Debugger 들을 간략히 정리해 보겠습니다. 


1. OllyDbg



OllyDbg 는 사용이 편리하고 가볍고 빠른 무료 Debugger 입니다. 도저히 무료라고 보기 힘든 다양한 기능과 많은 Plugin 을 통한 확장성으로 인하여 수 많은 리버서들의 열광적인 지지를 얻고 있습니다. 

OllyDbg 는 리버싱 초보부터 전문가까지 폭넓게 사용되는 가장 인기 있는 디버거입니다.


<그림 1 - OllyDbg>

OllyDbg 의 장점으로는 가볍고 빠르며 상당히 다양한 기능과 많은 옵션을 제공한다는 것입니다. 또한 PlugIn 기능을 통한 확장성을 제공합니다. 가장 사용자가 많고 OllyDbg 를 이용한 리버싱 강좌가 많이 있기 때문에 초보자도 쉽게 배울 수 있습니다. 그리고 무료로 제공된다는 점도 큰 장점입니다.

단점으로는 개인이 혼자서 개발한 거라 업데이트와 후속 제품의 개발 주기가 늦다는 것입니다. 다행히 최근에 OllyDbg 2.0 Final 버전이 릴리즈 되었습니다. 비록 겉모습은 이전 버전과 동일하지만 내부 코드는 완전히 새롭게 프로그래밍 하여 속도와 정확성 등이 크게 향상되었다고 하네요.


2. IDA Pro



Hex-rays 사의 IDA Pro 는 현재 최고의 Disassembler & Debugger 라고 말할 수 있습니다. 과거에는 Disassembler 성격이 강했으나, 수많은 업데이트를 통해 Debugger 기능 또한 막강해 졌습니다. 

수 많은 다양한 기능들을 설명하는 전문 서적이 따로 존재할 정도로 엄청난 기능을 자랑합니다. 또한 Decompiler Plugin 등을 추가로 장착하면 리버싱이 말할 수 없이 편리해 집니다. 그만큼 가격도 비싸지요.

많은 리버싱 전문가들이 IDA Pro 를 주력으로 삼으면서 리버싱 전문 툴로써의 입지를 탄탄히 굳히고 있습니다.

장점으로는 다 써보지도 못할 정도로 다양한 기능과 충실한 업데이트를 들 수 있습니다. 다만 가격이 비싸고 사용법이 비교적 복잡하며 초기 로딩 시간이 좀 걸린다는 것을 단점으로 들 수 있겠습니다. 


<그림 2 – IDA Pro>


3. WinDbg



WinDbg 는 DOS 시절 16 bit 디버거인 debug.exe 의 Windows 버전입니다. 


<그림 3 – Debug.exe>

콘솔 화면에서 키보드만으로 디버깅을 하는 debug.exe 의 사용자 인터페이스를 그대로 가져왔습니다. 저는 이런 스타일의 프로그램을 매우 좋아하지만 반대로 거부감을 갖는 분들도 상당수 계십니다.

유저 모드 디버깅(User Mode Debugging) 분야에서는 사용자 편리성이 뛰어난 OllyDbg 나 IDA Pro 가 꽉 잡고 있습니다. 따라서 WinDbg 는 주로 커널 모드 디버깅(Kernel Mode Debugging)에 주로 사용됩니다. 전설적인 커널 디버거인 SoftICE 의 후속 제품 개발이 중단된 이후 커널 디버깅 분야에서 사실상 독보적인 존재가 되어 버렸습니다. (경쟁 제품이 없는 상태입니다.)

역사가 오래 된 만큼 기능도 다양하고 사용 방법에 대한 전문 서적이 여러 권 나와 있습니다.


<그림 4 - WinDbg>

장점은 커널 디버깅이 가능하다는 것과 Microsoft 에서 직접 만든 디버거라는 점입니다. 시스템 파일에 대한 심볼(Symbol)을 직접 다운 받을 수 있어서 시스템 내부 구조체(Undocumented 포함) 및 API 에 대한 정보를 얻을 수 있습니다. 또한 Windows OS 의 덤프 파일을 읽어 들여 분석할 수 있기 때문에 시스템 크래쉬(Crash)가 발생했을 때 원인을 분석해 낼 수 있습니다. 

단점으로는 다른 디버거들에 비해 좀 떨어지는 사용자 환경과 편의성을 꼽을 수 있겠습니다. (예를 들어 코드에 직접 주석을 입력할 수 없고, Disassembly 코드에서 호출되는 API 이름도 잘 표시되지 않는 등의 불편함이 있습니다.)

그래도 커널 드라이버 개발과 유지보수에 필수적으로 사용되는 디버거 입니다. 리버싱에서는 커널 드라이버 파일 분석에 주로 사용됩니다. 최근에는 대부분 WinDbg 와 VirtualPC(또는 VMWare) 조합으로 커널 디버깅을 수행합니다. 향후 여러분들의 리버싱 실력이 쌓인 후 커널 드라이버(예: Rootkit) 등을 분석할 때 자주 사용될 것입니다.

+---+

지금까지 리버싱 현업에서 사용되는 대표적인 디버거들에 대해서 간략히 살펴보았습니다.

제 경우에는 유저 모드 디버깅에 OllyDbg 1.10 를 사용하고, 커널 모드 디버깅에는 WinDbg 를 사용합니다.

ReverseCore
저작자 표시 비영리 변경 금지
신고

'tool' 카테고리의 다른 글

PEView.exe  (23) 2013.01.27
HxD.exe 기능 추가!  (12) 2012.06.14
리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
InjDll.exe – DLL Injection/Ejection 전용 도구  (71) 2010.03.15
Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
www.virustotal.com  (3) 2009.03.20
www.google.com  (2) 2009.03.06
  1. reversecore 2010.09.30 19:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    - 봉이님 댓글

    ㅁㅁ님!
    제가 리버싱 공부하면서, 안티리버싱, 악성코드 분석에 관심이 생겨서 인터넷 곳곳 돌아 봤는데요..
    안랩 연구원들 분께서 고려대, 서울여대 악성코드 분석 강의를 하시는 것 같더라구요..
    관련 강의자료를 구할수 있을까요?
    꼭 부탁드립니다.

    • reversecore 2010.09.30 19:26 신고 댓글주소 | 수정 | 삭제

      안녕하세요~

      ^^ 제 실명을 거론 하셔서 제가 약간 가렸습니다. 양해바랍니다.

      강의에 대해서 잘 알고 계시군요?

      해당 자료는 수강생 이외에는 비공개 입니다.

      참고로 저도 한 섹션을 맡았습니다. ^^

  2. reversecore 2010.09.30 19:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    - 봉이님 댓글

    core님이 ㅁㅁ님 맞죠?
    혹시 core님 이름이 틀렸을수도 있으니, 제가 위에 표현한 ㅁㅁ님은 core님입니다.

    • reversecore 2010.09.30 18:45 신고 댓글주소 | 수정 | 삭제

      ^^ 네 제가 그님(?) 맞습니다.

      봉이님께서는 혹시 저를 아시는 분인가요?
      너무 친숙하게 물어보셔서요~ ^^
      (비밀 댓글로 답해주시면 됩니다.)

  3. 2010.10.01 15:39 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.10.03 23:07 신고 댓글주소 | 수정 | 삭제

      안녕하세요.~

      네, 그러셨군요. ^^

      리버싱을 공부하고 싶으시다는 열의가 느껴집니다.

      죄송하지만 강의 자료를 제공해 드릴 수는 없습니다. (제가 작성한 거라도 불가능합니다.)

      그 대신 공부하시다가 막히시는 부분이 있을때 질문 올려 주시면 제 능력껏 답변 달아 드리겠습니다.

      감사합니다.

  4. 김종현 2010.10.02 23:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    처음 인사드리는 김종현입니다.
    테스트중 이상한 현상이 있어 문의 드립니다.

    아래와 같이 정말 간단한 DLL을 만들어 Injection하였는데
    이상하게 iexplore의 자식 프로세스들에서는 ::CreateFile()로
    파일이 생성되지 않는데
    그 이유가 심히 궁금하고
    해결방법에 대하여 고수님들께 조언을 구합니다.

    #include "stdafx.h"
    #include <stdio.h>
    #include <tchar.h>

    /////////////////////////////////////////////////////////////////////////////
    // _Inject

    class _Inject
    {
    public:
    static BOOL IsValidModule(LPCTSTR module_name)
    {
    static LPCTSTR valid_module_name_list[] =
    {
    //_T("notepad.exe"),
    _T("iexplore.exe"),
    NULL
    };
    for (int i=0; valid_module_name_list[i]; i++)
    {
    if (!_tcsicmp(module_name, valid_module_name_list[i])) return TRUE;
    }
    return FALSE;
    }
    }; //_Inject

    static BOOL IsValidCurrentModule()
    {
    TCHAR full_name[MAX_PATH];
    HMODULE module_handle = ::GetModuleHandle(NULL);
    ::GetModuleFileName(module_handle, full_name, MAX_PATH);
    TCHAR* module_name = full_name;
    for (int i=0; full_name[i]; i++)
    {
    if (full_name[i] == '\\') module_name = full_name + i + 1;
    if (full_name[i] == '/') module_name = full_name + i + 1;
    }
    if (!_Inject::IsValidModule(module_name)) return FALSE;
    LPCTSTR file_name = _T("c:\\zzz.txt");
    HANDLE file_handle = ::CreateFile(file_name, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (file_handle != INVALID_HANDLE_VALUE) ::CloseHandle(file_handle);
    else
    {
    TCHAR text[256];
    _stprintf(text, _T("ERROR: Cannot create file \"%s\"!!!\nPID: %d"), file_name, ::GetCurrentProcessId());
    ::MessageBox(NULL, text, module_name, MB_OK);
    }
    return TRUE;
    }

    BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
    {
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    if (IsValidCurrentModule())
    {
    }
    break;
    case DLL_THREAD_ATTACH:
    break;
    case DLL_THREAD_DETACH:
    break;
    case DLL_PROCESS_DETACH:
    break;
    }
    return TRUE;
    }

    EXTERN_C __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
    {
    return CallNextHookEx(NULL, code, wParam, lParam);
    }

    • reversecore 2010.10.04 00:14 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      iexplore.exe 의 자식 프로세스라면...
      7 버전 이후의 탭으로 생성되는 서브 프로세스를 말씀하시는 건지요?

      제 경우에는 정상적으로 c:\\zzz.txt 파일이 생성되었습니다.
      (WinXP SP3 & Win7)

      혹시 다른 경우를 말씀하시는 거라면 다시 질문 올려주세요~ ^^

      감사합니다.

    • 김종현 2010.10.04 12:22 신고 댓글주소 | 수정 | 삭제

      테스트해 주셔서 감사합니다.
      그런데 정작 중요한 환경을 알려 드리지 않았네요.
      제가 테스트한 IE는 버전8이고
      말씀하신데로 탭으로 생기는 서브프로세스에서는
      전부 문제가 발생하고 있습니다.
      유독 부모프로세스만 문제 없구요.

      정확한 정보는 gmail로 다시 보내드리니
      IE8에서 다시 한번 더 봐 주시길 부탁드립니다.

    • reversecore 2010.10.05 21:21 신고 댓글주소 | 수정 | 삭제

      네, 제 테스트 환경과 동일하시네요~

      전 보통 최신 .NET Framework 가 설치되지 않은 환경에서의 실행을 보장하기 위해 /MT 옵션으로 빌드합니다.

      제가 테스트한 파일을 김종현님 email 로 보내드릴테니 한번 실행해 보시고 결과를 알려 주시기 바랍니다. ^^

      * 보안 프로그램등에서 차단당하는 경우도 있으니 참고하시기 바랍니다.

      감사합니다.

  5. lain32 2010.10.04 19:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 :D
    계속해서 좋은글을 많이 올려주셔서 제가 기초가 부실한 부분들이 있었는데
    많은 도움을 받고 있습니다.
    그리고 정말 자세하게 설명하셔서 너무나도 많은 도움이 되고 있구요.
    이렇게 좋은 자료들을 열정적으로 공개해주셔서 너무 감사드립니다.

    힘내시라고 감사에 글을 적어봤습니다. ㅎㅎ

  6. 2011.02.17 22:47 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.18 22:10 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      아주 멋진 크랙미 사이트를 만드셨군요~

      구경 잘 했습니다.

      제 경우에 블로그 홍보를 따로 해본 적은 없습니다. ^^

      이곳에 방문 하시는 분들은 대부분 google 과 naver 검색으로 찾아오시는 분들입니다.

      감사합니다.

    • 2011.02.18 23:02 댓글주소 | 수정 | 삭제

      비밀댓글입니다

  7. 2011.09.02 12:01 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.09.03 14:28 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      비슷한 시간에 디버거를 만드신 다는 질문이 여러개 등록되어있군요. ^^

      OllyDbg 정도의 범용 디버거는 매우 높은 수준의 개발 실력과 시스템에 대한 이해가 필요하다고 생각하시면 됩니다.

      다만 특정 상황에서만 간단히 사용한다면... (Disassembler 도 필요없고 GUI 도 필요없고... 단순한 명령어만 디버깅한다고 했을때... ) 개발 난이도는 상당히 낮출 수 있습니다.

      커널 디버거는 저도 아직 어떻게 만들어야 할지 어렴풋이 감만 잡고 있는 수준입니다. ^^~

      감사합니다.

  8. 비밀 2011.12.21 15:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요? ^-^
    책 원고가 완성되었다고 하셨는데.. 개인적으로. 가능하다면.
    Immunity Debugger 에 대해서도 설명을 넣으면 좋을것 같습니다 :)
    제가 알기로 OllyDbg 를 만들던 분이 Immunity 로 이직하시면서 Python 기반으로 개발하신걸로 알고 있습니다. 물론 무료입니다 :)
    http://debugger.immunityinc.com

    수고하세요~

    • reversecore 2012.01.11 07:53 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      Immunity Debugger 의 python 스크립트는 아주 좋습니다. 저도 많이 써봤지요.

      근데 OllyDbg 개발자는 다른 직업이 있고 그냥 취미로 OllyDbg 를 만든걸로 알고있는데요.

      Immunity Debugger 는 그냥 OllyDbg 클론이구요. 제가 잘 못 알고 있나요?

      감사합니다.

  9. 2012.02.09 20:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    이뮤니티 디버거 같은경우 올리디버거와 같지만 디버거 자체의 라이브러리가 좋다고 말할수 있을거 같아요. 거기다 파이썬 코드로 스크립트 가능하니까 윗분은 뭐 그런 부분을 집어 달라는게 아닐까요?

  10. 고로아기 2012.04.04 13:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    ollydbg로 분석해서 사진찍으신거 보니 스택보면 arg1이라고 나오고 설명에 무슨 함수 썼는지 옆에 다 나오더라고요... 전 안떠서 그런데 어떻게하나요 ㅠ.. 윈7 64비트인데 플러그인같은거 있던데 깔아도 안나와서요...

  11. 흠... 2012.10.29 00:19 신고 댓글주소 | 수정 | 삭제 | 댓글

    Cheat Engine 도 추가...
    분석할 때만 유용한 도구가 있더군요.
    요즘엔 올리디버거랑 IDA 안쓰고, CE를 사용중입니다.

    단순한 메모리 에디터 같은 경우 value를 잡고 변화한 value를 넣어 아닌 값들을 걸러내는데...
    이 아이디어를 확장해서...
    CE에서는 함수나 분기문 코드가 실행 되었는지 안되었는지,
    데이터 search 하는 것처럼 걸러내서 목표한 위치에 바로 갈 수 있으니까요.
    이게 핵심인듯...
    기존엔 프로시저들을 분석해야했지만, 이렇게 하니 시간을 대폭 줄일 수 있네요.

    • reversecore 2012.10.30 07:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      좋은 정보 감사합니다. ^^~

      업무적으로 분석을 하다보면 시간에 쫒길때가 많은데요.
      Cheat Engine 을 구해서 꼭 살펴봐야 겠습니다.

      감사합니다.

  12. 리버서 2012.12.02 23:35 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    저는 옴니아2에서 주로 어플을 짜는데요.
    옴니아2에서 돌아가는 어플은 올리디버그가 안되는것 같은데요.
    옴니아 같은 스마트폰 어플 디스어셈블 하는 방법 같은 거 있으시면 좀 알려주시면 감사하겠습니다.

    • reversecore 2012.12.04 21:01 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      옴니아2라면 Windows CE 말씀하시는것 같군요.

      그건 아마 ARM 계열의 CPU를 사용하겠죠?
      OllyDbg 는 x86 계열의 CPU만 디버깅 할 수 있습니다.

      옴니아 어플 디버깅 방법은 저도 아는 바가 없습니다. ^^

      감사합니다.

  13. 비비케이 2013.03.02 00:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    Cheat Engine도 확실히 괜찮은 편인데 ... 없는거 보고 약간 흠칫했네요. 올리디버거보다 훨씬 선호하는 편입니다.

    • reversecore 2013.03.04 21:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요~

      그렇군요~ 저희 분석가들도 손에 익은 도구만 쓰는 경향이 있어서 다들 IDA Pro 아니면 OllyDbg 만 쓴답니다. CE 도 꼭 써봐야 겠어요~ ^^

      감사합니다.

  14. 크로우 2013.05.01 18:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    올리디버거에서 주석이나오는 부분들에서
    API주석이 제대로안나오는데 어떻게해야되죠?
    책에서는
    Style = MB_OK|MB_APPLMODAL
    Title = "abex' 1st crackme"
    Text = "Make me think your HD is a co-rom"
    h0wner = NULL
    MessageBoxA
    이런식으로 나오는데
    저가 올리디버거를 켜서보면

    자세하게 안나오고 ASCII "문자열"
    이것만 나와요 ㅠㅠ.. 간혹 주소를 잘못찾은줄알고 헷갈려서 헤메네요 ..

  15. 허허실실 2013.05.02 01:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 책보고 열심히 따라 하는 잡생 입니다 ^^ 다름이 아니라 저는 올리디버거 실행 시키면
    You do not have administrative rights on this computer, As a result some debugging features may fail. To enable all OllyDbg features, please log in as administrator 라고 뜨네요 ,,,
    관리자 권한이 어쩌구 저쩌구 하는대요 작동은 되는대 뭔가 느낌표 표시랑 같이 떠서 경고문 같아요 .. 리버스코어님도 이런거 뜨나요 ??

  16. substr_sql 2013.07.09 12:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    IDA PRO 와 현 올리디버거 의 디버거 Adminstraitive 를 같이 사용하면
    debugging Error 03 이 뜨는이유는 무엇일까요 ㄷㄷ;; [압박]

  17. 이x철 2015.01.26 10:36 신고 댓글주소 | 수정 | 삭제 | 댓글

    하드웨어로 밥벌이 하다 네트웤 nos 언어를 공부하다 보니 디버깅이 눈에 띄어
    OllyDbg를 찾게 되었네요..(아직 때는 아니지만요^_^)
    책도 있나 보군요..? 디버거들의 개념을 짚어 주셔서 도움 되었습니다.
    감사합니다(__)
    저와 같은 경고문을 보신 허허실실님...두번째 실행은 admin권한으로 실행 하셨겠죠?ㅎㅎ



제가 개발한 InjDll.exe 프로그램을 소개합니다. 
이 프로그램을 이용해서 원하는 DLL 을 대상 프로세스에 Injection/Ejection 시킬 수 있습니다.



DLL Injection 에 관련된 설명을 아래 링크를 참조하세요.




InjDll.exe (Ver 1.0.0)


제 블로그 study 에서 자주 소개되는 프로그램입니다.
소스를 조금 다듬고 기능을 추가시켜서 정식 버전(1.0.0)으로 배포합니다.

이 프로그램은 공개용이며, 자유롭게 사용하실 수 있습니다.


* 주의!
기본적으로 Windows 2000 이상만 지원합니다. (Windows 7, XP 에서 테스트 되었습니다.)
Windows 9X 계열에서는 사용하실 수 없습니다.


사용방법은 아래와 같습니다.

InjDll.exe <procname|pid|*> <-i|-e> <dll path>

<procname|pid|*>
  procname      Process name (ex: explorer.exe, notepad.exe, etc)
  pid           Process ID

<-i|-e>
  -i            Injection Mode
  -e            Ejection Mode

<dll path>      DLL File Path (relative or full)


사용 예
- PID 2840 프로세스에게 dummy.dll 파일을 Injection 시킬 때



- IE 프로세스에게 dummy.dll 파일을 Injection 시킬 때



- 모든 프로세스에게 dummy.dll 파일을 Injection 시킬 때



Ejection 은 –i 대신 –e 를 사용하면 됩니다.



InjDll.exe (Ver 1.1.1)


InjDll.exe 가 버전업 되었습니다. (2010.10.29)




추가/변경 사항


1. 64bit 지원

InjDll64.exe 를 이용하여 64bit 프로세스에 64bit DLL 파일을 인젝션 시킬 수 있습니다. 

* 64bit 프로세스에 DLL Injection 을 하기 위해서는 Injector(InjDll64.exe) & DLL 파일이 모두 64bit(PE32+) 이어야 합니다.


2. <dll path> 의 "상대 경로" 지원 

아래와 같이 Dll 파일 위치를 상대 경로로 입력할 수 있습니다.

InjDll32.exe notepad.exe -i dummy32.dll
InjDll32.exe calc.exe -i ..\hook.dll
...



주의사항


1) 원격 스레드를 실행시켜 LoadLibrary() 를 호출하는 방식이므로 대상 프로세스에 kernel32.dll 이 로딩되어 있지 않다면 Injection/Ejection 작업은 실패합니다.

2) 접근 권한이 제한된 (보호받는) 프로세스나 Anti-Injection 기법이 적용된 프로세스 들에게도 역시 Injection/Ejection 작업은 실패합니다.

3) 원칙적으로 Injection 을 N 번 시켰을 때 Ejection 도 같은 횟수로 호출해 줘야 해당 DLL 이 제대로 unloading 됩니다.



Bugs


사용하시다가 버그가 발견된다면 댓글로 알려주시면 감사하겠습니다.



ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~
저작자 표시 비영리 변경 금지
신고

'tool' 카테고리의 다른 글

PEView.exe  (23) 2013.01.27
HxD.exe 기능 추가!  (12) 2012.06.14
리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
InjDll.exe – DLL Injection/Ejection 전용 도구  (71) 2010.03.15
Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
www.virustotal.com  (3) 2009.03.20
www.google.com  (2) 2009.03.06
    이전 댓글 더보기
  1. 김대리 2015.09.09 02:55 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  2. 김대리 2015.09.09 02:55 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  3. 무룡꽁머니 2015.09.10 06:50 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  4. 헬로우드림 2015.09.10 21:15 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  5. 김대리 2015.09.11 12:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  6. 김대리 2015.09.11 12:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  7. 왕재수 2015.09.13 01:26 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  8. 무룡꽁머니 2015.09.14 03:54 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  9. 임투지 2015.09.14 16:07 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  10. 왕재수 2015.09.19 12:29 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  11. hello 2017.01.12 03:17 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  12. 코코킹 2017.01.15 15:32 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  13. 코코킹 2017.01.30 20:38 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  14. 맞짱섯다 2017.02.05 00:55 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  15. 맞짱섯다 2017.02.06 10:26 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  16. 맞짱먹튀 2017.02.07 15:18 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  17. 무료행사 2017.02.09 00:31 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  18. 코코킹 2017.02.26 04:10 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  19. 홍콩명품시계 2017.03.16 08:20 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. dfgdfg 2017.04.02 07:26 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다




Process Explorer


Windows 최고의 프로세스 관리 도구 Process Explorer 입니다.

https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

저 유명한 sysinternals (현재는 MS에 인수되었음) 의 Mark Russinovich 씨가 만든 프로세스 관리 유틸리티입니다.

이분은 Windows 운영체제에 대해서 매우 해박한 지식을 갖고 있으며,
유용한 유틸리티(FileMon, RegMon, TcpView, DbgView, AutoRuns, Rootkit Revealer, etc) 들을 만들어 공개하였습니다.

언젠가 한번은 FileMon 과 RegMon 의 소스 코드를 공개하신적이 있습니다. (지금은 없어졌지요.)
Windows 운영체제 초창기에 (맨땅에 헤딩하던) 시스템 드라이버 개발자들에게 있어서
그 소스들은 그야말로 사막의 오아시스 같은 존재였습니다.

각설하고 Process Explorer 의 실행화면을 보실까요.


< Fig.1 - Process Explorer 실행화면 >

Windows 작업관리자와는 비교 할 수 없는 아주 뛰어난 화면 구성을 보여주고 있습니다.

화면 위의 좌측에는 현재 실행중인 프로세스들을 Parent/Child 의 트리 구조로 표시하고 있습니다. (무려 아이콘 까지!!!)
우측에는 프로세스 각각의 PID, CPU 점유율, 등록정보 등을 보여줍니다. (Option 을 통해 더 추가 가능)

화면 아래(욥션)에는 선택된 프로세스에 매핑된 DLL 정보 또는 해당 프로세스에서 오픈한 object handle 을 표시합니다.



구체적으로 뭐가 좋은거죠?


좋아 보이기는 하는데 구체적으로 뭐가 좋은건지 궁금하시죠?

저는 리버싱 할 때 항상 Process Explorer 를 같이 띄워놓고 합니다.
제가 Process Explorer 를 좋아하는 이유는 이렇습니다.

  • Parent/Child 프로세스 트리 구조
  • 프로세스 실행/종료시 각각의 색깔(초록/빨강)로 표시
  • 프로세스 suspend 기능 (실행 중지)
  • 프로세스 종료(kill) 기능 (Kill Process Tree 기능 지원)
  • DLL/Handle 검색 (프로세스에 인젝션된 DLL 검색 또는 특정 파일을 오픈한 프로세스 검색)

  • 이외에도 다양한 기능들이 있습니다만, 위 기능들이 특히 리버싱 할 때 많이 사용되는 기능들입니다.
    그리고 꾸준한 업데이트(버그 수정, 기능 추가)도 큰 장점입니다.



    sysinternals


    sysinternals 홈페이지에 가보시면 Process Explorer 의 미니 콘솔 버전들이 있습니다.
    (PsKill, PsSuspend, PsList, etc)

    이 유틸들도 받아서 실행해 보세요. Process Explorer 의 기능을 축소시킨 멋진 콘솔 버전 프로그램들입니다.

    리버싱을 위해 Windows 내부구조를 공부하시는 분들께서는 간단히 이런 콘솔 프로그램을 따라 만들어 보세요.
    프로세스와 DLL 등에 대한 이해를 높일 수 있습니다.
    (제 경험상 따라 만드는 방법이 실력 향상을 위한 가장 좋은 방법입니다. ^^)



    이상으로 최고의 프로세스 관리 유틸리티 Process Explorer 에 대한 소개를 마칩니다.



    저작자 표시 비영리 변경 금지
    신고

    'tool' 카테고리의 다른 글

    PEView.exe  (23) 2013.01.27
    HxD.exe 기능 추가!  (12) 2012.06.14
    리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
    InjDll.exe – DLL Injection/Ejection 전용 도구  (71) 2010.03.15
    Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
    www.virustotal.com  (3) 2009.03.20
    www.google.com  (2) 2009.03.06
    1. substr_sql 2013.07.09 12:33 신고 댓글주소 | 수정 | 삭제 | 댓글

      Proccess Explorer 보단

      7이신 경우에는
      프로세서 해커 ( process hacker )
      가 작업 상황에는 더 좋죠 ㅇㅇ





    티스토리 툴바