HelloWorld.exex

HelloWorld.cpp




Level

초급



Content

"Hello World!" 프로그램을 디버깅 해보고 간단한 패치를 해보도록 하겠습니다.
이를 통하여 디버깅에 대한 감을 잡으실 수 있습니다.



Goal

- 기본적인 디버거 사용방법의 이해
- 간단한 Disassembly code 이해
- 간단한 프로그램 패치(patch)



Tool

Visual C++ 2008 Express Edition
OllyDbg 1.10



Hello World!

모든 C 프로그래머가 최초로 만들어 본 프로그램 Hello World! 를 최초의 디버깅 프로그램으로 결정하였습니다. SW 업계에서의 차지하는 Hello World! 의 의미, 처음 C 를 배울때의 두근거림 그리고 소스 코드의 간결함까지... 이 모든 것이 최초의 디버깅 프로그램으로써 더 할 나위 없이 딱 들어맞는군요.

자신에게 익숙한 C/C++ 개발툴을 이용하여 Hello World! 를 만들어 봅니다.
(Release 모드로 빌드하면 코드가 좀 더 간결해져서 디버깅하기 편합니다.)


<Fig. 1>




디버깅 목표


위에서 만든 HelloWorld.exe 를 실행해보면 당.연.히. "Hello World!" 메시지 박스가 출력될 것입니다. 그냥 디버깅만 하면 재미없으니까 이 문자열을 "Hello Reversing!" 으로 바꾸는걸 목표로 하겠습니다.

그러기 위해서는 먼저 HelloWorld.exe 를 디버깅하여 main() 함수내의 MessageBox() 함수 호출 코드를 찾아야 합니다.

그리고 적절히 해당 문자열 위치를 알아내어 변경시키면 되겠지요.



디버깅 시작

첨부된 HelloWorld.exe 파일을 OllyDbg.exe 로 열어보겠습니다.

* VC++ 도  소스가 있을때 어셈블리 수준의 디버깅이 가능합니다만, 일반적으로는 분석할때 소스가 없으므로 OllyDbg 같은 Win32 전문 디버거를 사용하게 됩니다.


<Fig. 2>


디버깅을 시작하기 전에 간단히
<Fig. 2> 에 보이는 OllyDbg 의 메인 화면 구성에 대해 설명드리겠습니다.

- code :
기본적으로 disassembly code 를 표시하고 각종 comment, label 을 보여주며 코드를 분석하여 loop, jump 위치 등의 정보를 표시한다.
- register : CPU register 값을 실시간으로 표시하며 특정 register 들은 수정도 가능함.
- dump : 프로세스내의 원하는 memory 주소 위치를 hex ASCII 값으로 표시하고 수정도 가능함.
- stack : ESP register 가 가리키는 프로세스 stack memory 를 실시간으로 표시하고 수정도 가능함.

디버거가 멈춘 곳은
EntryPoint(EP) 코드로써 HelloWorld.exe 의 실행 시작 위치(4011A1)입니다. 일단 EP 코드에서 눈에 띄는건 CALL 명령과 그 밑의 JMP 명령입니다.

Address     OP code        Disassembly       comment
----------------------------------------------------------------------------
004011A1    EB A6160000    CALL 0040284C     ; 0040284C (40284C 주소의 함수를 호출
)
004011A6    E9 A4FEFFFF    JMP 0040104F      ; 0040104F (40104F 주소로 점프)

- Address : 프로세스의 가상메모리(Virtual Address:VA) 내의 주소 위치
- OP code : OPeration code 의 줄임말로써 IA32(또는 x86) CPU 명령어
- Disassembly : OP code 를 보기쉽게 디스어셈 해준 코드
- comment : 디버거에서 추가한 주석 (옵션에 따라 약간씩 다르게 보임)

디스어셈 코드를 처음 보신 분들이라도 위 두줄의 코드는 그 의미가 명확합니다.

"40284C 주소의 함수를 호출(CALL)한 후 40104F 주소로 점프(JMP) 하라"

계속 디버깅을 진행해 보겠습니다.
목표는 우리가 작성한 main() 함수내의 MessageBox() 함수 호출을 확인하는 것입니다.



40284C
함수 따라가기

- Step Into [F7] :
하나의 OP code 실행 (CALL 명령을 만나면, 그 함수 코드 내부로 따라 들어감.)
- Step Over [F8] : 하나의 OP code 실행 (CALL 명령을 만나면, 따라 들어가지 않고 그냥 함수자체를 실행함.)
- Execute till Return [Ctrl+F9] :
함수 코드 내에서 RETN 명령어 까지 실행 (함수 탈출 목적)

F7
단축키로 함수 안으로 따라갈 수 있습니다.


<Fig. 3>


위 코드를 얼핏 보아도
Hello World! 에서는 사용된 적 없는 API 들이 호출되고 있습니다.
이곳은 분명 우리가 찾는 main() 함수가 아니겠군요.
이곳은 VC++ 에서 프로그램 실행을 위해서 추가시킨 (우리 소스코드에는 없지만) VC++ stub code 입니다. (각 컴파일러 종류/버전별로 stub code 는 틀려집니다.)
지금은 신경쓰지 말고 우리의 목표 main() 을 찾아 계속 진행해 보겠습니다.

*
주의사항 : 처음에는 Win32 API 함수들(OllyDbg comment 상에서 빨간색 API 함수 호출 부분)은 따라가지 마세요.  너무 헤멜 수 있습니다. Step over[F8] 로 넘어가세요.

4028E1
주소에 RETN 명령어가 있습니다.
(RETN
은 함수의 끝을 나타내며 함수가 호출된 명령어 바로 다음 명령어로 되돌아 갑니다.)

그곳까지 Step over [F8] 하시거나 또는 Execute till Return [Ctrl+F9]로 한방에 가봅니다.

그리고
RETN 명령어를 실행하면[F7/F8] <Fig. 2> 에서 봤던 4011A6 주소로 오게됩니다.
(C
언어에서 함수를 호출하고 리턴하면 그 다음 명령어로 오는 것을 생각하시면 됩니다.)



40104F 따라가기

4011A6
주소의 JMP 0040104F 명령을 실행해서 40104F 로 갑니다.


 <Fig. 4>


<Fig. 3> 보다 좀 더 복잡해 보이는 VC++ stub code 가 나타났습니다
실력 향상을 원하시는 분들은 이 코드에서 Step In/Over 를 사용해서 마구 헤매셔야(?) 합니다
함수 호출을 너무 깊게 따라가서 너무 힘든 상황이라고 생각되시면 아래의 ‘디버거 좀 더 능숙하게 다루기’ 내용을 참고하셔서 다시 디버깅 하시면 됩니다.

* 헤매야 하는 이유
여러분이 초보자이기 때문입니다. ^^ 각 컴파일러/버전별로 stub code 를 눈에 익혀 놓으시면실전에서는 stub code 처럼 보이는 부분은 빠르게 뛰어 넘을 수 있습니다
마치 C언어 처음 배울때 컴파일 에러를 많이 내보고, 에러 메시지를 눈에 익히는 것과 같다고 할 수 있습니다실전에서 같은 에러 메시지가 발생했을때 능숙하게 해결하기 위함이지요.



디버거 좀 더 능숙하게 다루기

- Restart [Ctrl+F2] : 다시 처음부터 디버깅 시작. (디버깅 당하는 프로세스를 종료하고 재실행 시킴.)
- Go to [Ctrl+G] : 원하는 주소를 찾아감. (코드를 확인할 때 사용. 실행되는 것은 아님.)
- Execute till Cursor [F4] : cursor 위치까지 실행함 (디버깅 하고 싶은 주소까지 바로 갈 수 있음.)
- Comment [;] : Comment 추가
- User Defined Comments : 마우스 우측 메뉴 -> Search for -> User defined Comment
- Set/Reset BreakPoint [F2] : BP 설정/해제
- Run [F9] : 실행 (BP 가 걸려있으면 그곳에서 실행이 정지됨.)

디버깅을 재실행[Ctrl+F2] 하시고 [Ctrl+G] 단축키로 40104F 주소로 갑니다
40104F 주소에 커서가 놓여져 있을텐데요, [F4] 단축키로 바로 날라갑니다
이곳(40104F) 베이스 캠프라고 부르겠습니다

베이스 캠프로 가는 또 다른 방법은 BP(Break Point) 를 설정[F2] 하고 실행[F9] 하는 것입니다디버거는 현재 실행위치서부터 프로세스를 실행하다가 BP 가 걸린 곳에서 멈추게 됩니다. (BP 없으면 그대로 계속 실행)

그럼 이번에는 [;] 단축키로 주석을 달아 볼까요?


<Fig. 5>


프로그래밍에서와 마찬가지로 디버깅에서 주석은 매우 중요한데요, 커서 위치를 잠시 다른 곳에 두고 'User Defined Comments' 메뉴를 선택하면 아래와 같이 사용자가 입력한 주석들이 표시됩니다. 


<Fig. 6>


빨간 글씨로 표시된 부분이 커서 위치입니다. 
주석 위치와 겹쳐지면 빨간 글씨만 나타납니다. 
(그래서 커서위치를 잠시 다른 곳에 두시라고 한겁니다.)

해당 주석을 더블 클릭하면 그 주소로 갈 수 있습니다
(OllyDbg 를 종료하더라도 주석은 *.udd 파일에 보관되기 때문에 다음에 다시 볼 수 있습니다.)

이어지는 강좌에서 '원하는 코드를 빨리 찾는 방법' 을 가르쳐 드릴텐데요
나중에라도 베이스 캠프에서부터 API 호출을 제외한 모든 함수 호출을 일일이 따라가[F7] 보시는걸 권장합니다

(continue)

    이전 댓글 더보기
  1. 김태완 2011.02.10 15:54 신고 댓글주소 | 수정 | 삭제 | 댓글

    글 잘읽고 갑니다 ~
    책 발간 하시면 ㅎㅎ바로 구매 하겠습니다~

  2. 리버싱 2011.02.17 19:42 신고 댓글주소 | 수정 | 삭제 | 댓글

    코어님,디스어셈블러의 방식 선형스윕과 재귀순회에 대해서 질문을 드릴게요
    --------------------------------------------------------------------------------
    책에서 선형스윕은 모듈전체를 순서대로 디스어셈하고 재귀순회는 코드 흐름에 따라서 디스어셈한다고 하던데 그러면 재귀순회라면 만약 12345바이트에서 JMP 2409606080(예를 든 주소임)명령어가 있다고하면 12346 바이트는 디스어셈이 안되나요?그러면 12346부터 2409606079까지는 뭐가 들어가나요?기계어?데이터?

    • reversecore 2011.02.18 22:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      문의하신 그 두가지 용어는 처음 들어 봤습니다.

      대부분의 Disassember 는 Instruction 단위로 파싱해서 보여줍니다. 예를 들어 12345 주소의 JMP XXXXXXXX 명령어는 5 byte 크기를 가지므로, 그 다음 명령어는 1234A 주소에 나타나겠지요.

      만약 12345 주소부터 파싱을 하고 싶다면... 가능합니다. 다만 명령어가 깨져 보이겠지요.

      감사합니다.

  3. 피파 2011.02.27 11:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    exe나 dll을 올리디버거로 열때 올리디버거의 (1)code window 칸은 코드섹션을 디어셈하는건가요?

  4. 2011.02.28 12:15 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:44 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      GDB 코드를 보면 스택 프레임도 생성되어 있는데,
      디스어셈 표현 방식이 OllyDbg 와는 좀 틀려 보입니다.

      push 로 stack 에 넣어도 되지만 [ESP+X] 형식으로 넣어도 함수 입장에서 보면 파라미터 입니다.

      보통 VC++ 에서는 PUSH 로 파라미터를 전달합니다.
      혹시 어떤 컴파일러를 쓰셨는지요?

      감사합니다.

  5. TeamKhan 2011.03.02 16:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 질문이잇어서 이렇게 댓글을 남기게되는데요
    베이스캠프부터 시작해서 코드를 분석하라고하시는데
    어떻게분석을하라는거죠??그냥 막막하기만한데요...;
    이부분을 분석해보라고하시는의도를 잘모르겟내요...
    글에서는 stub code를 눈에 익혀두면 다음에 디버깅할떄 뛰어넘을수잇다고
    하시는데 왜 뛰어넘는건지??그리고 어떻게 눈에 익혀야되는지 잘모르겟내요...

    • Stares 2011.03.06 17:23 신고 댓글주소 | 수정 | 삭제

      stub code는 컴파일러가 임의로 넣는 코드입니다.
      솔찍히 분석의 필요가없는 코드이기때문에 넘기는것입니다.

      분석이란.. 어셈코드가 어떻게 진행되는지 알아보는것이 분석입니다..
      그 부분을 분석이 아니라 그 부분부터 분석해 나가라는뜻일겁니다~

    • reversecore 2011.03.10 10:53 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      Stares 님, 답변 감사드려요~ 너무 잘 설명해 주셨네요~ ^^

      그리고 눈에 익히는 법은요... 간단합니다...
      눈에 익을 때까지 계속 보는 겁니다.
      누구도 예외 없죠. 지름길은 없어요.
      꾸준히 계속 디버깅을 하다보면 실력이 쌓이는 겁니다.

      그런면에서 리버싱은 시간 투자한 만큼 실력이 늘어나는 참 정직한 분야인것 같아요.

      감사합니다.

  6. 수미르 2011.03.10 15:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱 제대로 공부 해 볼려고 합니다.
    시중에 책도 나와 있지만, 여기 설명이 저한테는 더 와 닿네요.
    감사한 마음으로 강의 잘 보겠습니다.

  7. reverse 2011.03.10 21:02 신고 댓글주소 | 수정 | 삭제 | 댓글

    디버깅 모드로 생성된 파일을 열면 ollydbg로 열게되면

    Module 'HelloWorld' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints!

    이러한 오류가 나는데,, 뭐 때문에 그러는건가요??

    릴리스 모드로 생성된 실행파일은 아무 에러 없이 되네요..

    • reversecore 2011.03.16 23:11 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      OllyDbg 는 파일을 로딩하고 자체적으로 스캔을 쭉~ 합니다. 그때 EP(EntryPoint) 가 첫번째 코드섹션(".text" 또는 ".CODE")의 바깥쪽에 있다면 저런 에러메시지를 출력합니다.

      하지만 디버그 모드라고 해서 EP 가 코드섹션을 벗어나지는 않을 텐데요~ PEView 나 OllyDbg 에서 직접 확인 해보시기 바랍니다.

      감사합니다.

    • reverse_totorohaha 2013.10.02 10:25 신고 댓글주소 | 수정 | 삭제

      안녕하세요 저도 오늘 Visual c++로 hello world 파일을 컴파일 하여서 OllyDbg로 파일을 열었는데 위 메세지가 뜨더라구요
      컴파일 할때 Release로 컴파일 하시면 위 메세지가 뜨지 않습니다.
      컴파일 할때 debug로 컴파일 하면 debug 폴더가... 그리고 release로 컴파일 하면 release 폴더에 exe 파일이 생성되는데 release 폴더에 생성된 exe 파일을 OllyDbg로 실행하시면 됩니다.

  8. reversing 2011.04.20 19:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    올리디버그의 dump window 칸엔 원하는 메모리에 있는 아스키값이나 유니코드값으로 나타나 있다고 하셨는데,저기엔 코드영역메모리와 데이터영역메모리(문자열 같은것)모두 들어있나요?
    /아니면 저곳에 모든 섹션영역의 메모리주소가 다 들어있고 ctrl+G 로 원하는 메모리로 간다는 뜻???

  9. forrok 2011.11.08 18:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    디버깅의 디 자도 모르는 사람인데요

    외람된 질문이지만 이런걸 통해서 무엇을 할 수 있죠?

  10. 처음인데... 2011.11.09 09:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음이라서 하나도 모르겠는데 뭘 공부해야 이걸 이해할 수 있죠?
    영어로 적어 논게 무슨 말인지 하나도 모르겠네요...

    • cqlee 2012.03.20 12:06 신고 댓글주소 | 수정 | 삭제

      저도 공부를 시작하는 입장인데요
      어셈블리관련서적 어려우시더라도 읽으시면 이해하게 됩니다 ^_^ 아직 잘 모르지만 알아가는 단계라 ^_^

  11. cqlee 2012.03.20 12:06 신고 댓글주소 | 수정 | 삭제 | 댓글

    위 cpp 소스코드를 컴파일 하여 생성된 .obj 파일을 cl 명령어를 이용해서 실행파일을
    만드려고 링크 에러를 잡느랴고 고생했습니다 단 한줄 위에 써 넣으면 되는 것을 ㅋㅋㅋ
    오류를 잡을땐 기분좋습니다. ㅋㅋㅋ

    고맙습니다 ^^

  12. tjdrua74 2012.04.03 15:06 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은강좌 잘 봣습니당
    이제 막 리버싱배우는데
    리버싱책보면서 같이보면 이해가 더 잘 되겠네여
    아 그리고 보면서 질문이 생겼어요
    전 집에서 visual c++2010 쓰는데 주소값출력되는게 다른가요??

    • reversecore 2012.06.14 01:27 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      빌드/실행 환경에 따라서 주소값이 약간씩 변할 수 있습니다.

      본문에 첨부된 실행 파일을 사용하시면 보시기 편하실 것입니다.

      감사합니다.

  13. rgs 2012.06.06 12:02 신고 댓글주소 | 수정 | 삭제 | 댓글

    주인장님 요새는 무슨 일을 하고계신지요?
    블로그 다음 내용이 무척 기대됩니다.

  14. 0000 2013.01.31 00:09 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    리버싱도
    익스플로잇처럼
    네트워크에연결되있는
    컴퓨턴를공격할수있나요?

  15. wlfanswk 2013.02.03 21:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    베이스캠프의 선정 기준은 뭔가요?
    책보면서 무작정 따라서 해보고 있는데 나중에 다른 프로그램들도 분석할 때 베이스캠프를 정해서 해야할 텐데 어떠한 기준으로 베이스캠프를 지정해야 할지 잘 모르겠습니다.

    • reversecore 2013.02.08 17:19 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      좋은 질문입니다. ^^
      약간 개인마다 차이가 있고 각자의 노하우가 필요한데요...

      그 부분을 통과하지 못하면 더 이상 진행할 수 없고...
      그곳까지 가는길이 단순 반복적이라면...
      그런 곳이 바로 베이스 캠프를 차리기에 적합한 곳이라 할 수 있습니다.

      제 경우에는 주로 디코딩 루프 전/후, 안티디버깅 코드 전/후, 동적으로 어떤 값이 변경되는 코드 등에 베이스 캠프를 차립니다.

      주로 PE Protector 같이 곳곳에 안티디버깅으로 함정을 파놓은 경우에 베이스 캠프를 차린답니다.

      감사합니다.

  16. wwww 2013.02.05 01:15 신고 댓글주소 | 수정 | 삭제 | 댓글

    주소값이 설명해주신거랑 다르게 계속 바끼는데 왜이런 걸까요..

    • reversecore 2013.02.08 17:16 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      혹시 직접 빌드해서 디버깅 하셨나요?

      Windows Vista/7 에서 Visual C++ 2008/2010/2012 등으로 빌드하면 그런 증상이 나타납니다.

      첨부된 실습 예제로 다시 해보시기 바랍니다.

      감사합니다.

  17. dksjd12 2013.03.21 12:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    첨부해주신 exe파일을 디버깅했는데도 주소값이 다르게 나와요.. 왜그러는 걸까요..

  18. wnrnrxla 2013.03.23 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    제 경우에 address부분이 4011A1 이런식으로 나오지않고
    013D284E 이렇게 나오는데 왜이런건가요?
    현재 윈도우 7 64bit 사용중입니다
    예제를 다운받아서 했습니다

    • dksjd12 2013.03.27 12:39 신고 댓글주소 | 수정 | 삭제

      안녕하세요. 저도 님과 같은 현상으로 고생했는데요.
      윈도우 7에서는 저작자분께서 해주신거와 다른결과가 나오더라구요.
      실습환경을 윈7에서 하시지마시고 가상환경에서 XP를 올린 후에 XP에서 실습을 하신다면 문제없이 진행됩니다~

    • reversecore 2013.04.01 22:16 신고 댓글주소 | 수정 | 삭제

      아, 문제를 해결 하셨군요.

      Vista/7/8 OS 의 ASLR 기능 때문인데요.
      XP 에서 테스트하시거나 ASLR 기능을 제거하고 테스트 하시면 됩니다.

      감사합니다.

    • wnrnrxla 2013.04.04 16:30 신고 댓글주소 | 수정 | 삭제

      아 그렇군요
      해결됬습니다
      감사합니다 ^^

  19. ASLR 제거방법 2013.05.18 18:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    ASLR제거를어떻게하나요??

  20. 방문777 2015.05.28 12:07 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다




Reverse Engineering (RE)



일반적인 의미에서 Reverse Engineering (RE : 역공학)이라고 하면,
물건이나 기계장치 혹은 시스템 등의 구조, 기능, 동작등을 분석하여
원리를 이해하며 단점을 보완하고 새로운 아이디어를 추가시키는
일련의 작업이라고 할 수 있습니다.


Reverse Engineering(이하 리버싱) 의 개념은 여러분의 일상생활 속에서도 찾아 볼 수 있습니다.

회사에서 리버싱이 사용되는 예를 들어 보겠습니다.
가령 경쟁사에서 신제품을 출시했다고 해봅시다.
R&D 부서에서는 얼른 구입해서, 어떤 새로운 기능이 있으며 어떻게 만들었는지 살펴볼 것입니다.

구현 능력이 엇비슷 하다면 금방 따라 만들 수 있을것입니다.
혹은 원래 기능의 단점을 보완하고 더 새로운 기능을 추가시킬 수 있을지도 모릅니다.



Reverse Code Engineering (RCE)



소프트웨어 역공학의 의미는 일반적인 의미의 역공학과 기본적으로 같은 개념이지만,
분야를 소프트웨어로 한정지어 놓았다고 이해하시면 되겠습니다.

우리나라에서는 아직 정확한 용어의 통일이 되지 않아서 여러가지 용어들이 같이 사용되고 있습니다.
많은 분들께서 Reverse Code Engineering, Reverse Engineering, 역공학, 리버싱등의 용어를 마구 섞어서 쓰고 계십니다.

제 블로그에서도 'RCE', 'RE' 혹은 편하게 '리버싱' 이라고 표현하겠으며,
제가 가장 좋아하는 단어인 '분석'  또는 '상세분석' 이라는 말을 많이 쓰도록 하겠습니다.
말 그대로 소프트웨어를 리버싱 관점에서 상세하게 분석한다는 뜻입니다.


일반적인 소프트웨어 혹은 프로그램들의 제작방법을 보면,
먼저 소스 코드를 작성하고 컴파일/링크 과정을 거쳐서 실행가능한 binary 형태의 파일로 만들어 집니다.

여기서 실행가능하다는 말은 컴퓨터가 그 binary 를 이해할 수 있어서
프로그램을 제작자의 의도대로 실행 시킬 수 있다는 뜻입니다.

컴퓨터를 잘 이해하고 있는 사람 또한 같은 바이너리 코드를 보고 이해할 수 있습니다.
(물론 이해 속도는 떨어지겠지만요.)

일반인들이 실행가능 binary 파일의 내용을 보면 마치 고대의 해독 불가능한 상형문자를 보는 것과 마찬가지로 그 내용을 이해할 수 없지만, 소프트웨어 역공학 전문가들의 눈에는 그 내용이 훤히 보이게 되는 것입니다.

어떻게 그런 일이 가능할까요?
컴퓨터의 구조와 언어를 능숙하게 익히면 가능합니다.

어떤 리버싱 전문가는 농담삼아(?) 이렇게 이야기 하기도 합니다.
“남들이 작성한 지저분한 C 소스코드 보는 것보다, 그 실행파일의 disasm 코드를 보는게 더 편해.”



RCE 방법



크게 두가지 방법이 있습니다. 정적분석동적분석입니다.

1) 정적분석
: 파일을 실행 시켜 보지 않고 분석하는 방법입니다.
  파일의 종류(EXE, DLL, DOC, ZIP, etc), 크기, 헤더(PE)내용, 내부 문자열, 실행압축여부, 등록정보, 디버깅정보,
  디지탈 인증서 등을 확인하는 것입니다.
  또한 디스어셈블러(Disassembler)를 이용해서 내부 코드와 그 구조를 확인 할 수 있습니다.

2) 동적분석
: 파일을 직접 실행 시켜서 분석하는 방법입니다.
  실행 증상(파일, registry, 네트워크 등)을 모니터링 하고,
  디버깅(debugging) 하여 기능, 동작, 메모리 상태, 레지스터 값, 코드 흐름을 살펴보는 것입니다.

두 가지 분석 방법 모두 편리한 유틸리티들을 사용하여 분석이 이루어지며,
경우에 따라서 두 가지 방법 중에서 한가지 혹은 두가지 모두를 사용하여 분석을 완료합니다.

제 경우에는 보통 정적분석으로 최대한의 정보를 수집하고 해당 파일에 대한 감을 잡은 후에 동적분석을 해봅니다.
Debugging 은 가장 마지막에 쓰거나 경우에 따라서는 아예 쓰지 않습니다.



패치(patch) 또는 크랙(crack)




프로그램의 파일 혹은 실행중인 프로세스의 메모리 내용을 변경시키는 작업을 패치(patch) 라 하고,
그 중에서도 의도적으로 저작권을 침해하기 위하여 변경시키는 작업을 크랙(crack) 이라고 합니다.

이러한 예는 일상생활에서 많이 접할 수 있습니다.

iPhone 을 크랙하여 쉘을 띄우고, 게임기를 크랙하여 복제 CD 를 사용할 수 있도록 하며
각종 SW 를 크랙하여 불법 복제를 가능하도록 하는등 셀 수 없이 많은 크랙을 볼 수 있습니다. 

제 블로그에서는 정품 소프트웨어의 크랙 방법을 다루지 않습니다.
어디까지나 리버싱의 원리와 OS 내부구조에 대한 깊이있는 공부가 주된 관심사 입니다.



ReverseCore



리버싱 방법과 그 원리에 대해서 설명하는 블로그로 만들겠습니다.

ReverseCore 접속 준비물은 적당한 의욕  구글(Google) 입니다. 


- 적당한 의욕 

    과욕을 부리시면 안됩니다.
    리버싱은 인내, 인내, 인내의 연속입니다.
    과욕을 부리시다가 생각대로 안되면 중도 포기하게 됩니다.
    "안돼면 내일 하지 뭐~" 이런 자세가 좋은것 같습니다.


- 구글(Google) 

    뭐든지 다 있다고 그냥 믿으십시요.
    내가 궁금한 내용이 다 있다 라고 그냥 순수하게 믿고 찾으시기 바랍니다. 
    지금부터 배우려는 내용은 이미 수년전에 누군가가 했었던 것들이며,
    수년동안 많은 사람들이 따라 해봤던 내용들입니다.
    만약 찾는게 진짜로 없다면... 
    축하드립니다.
    드디어 당신은 리버싱 guru 의 경지에 도달하신겁니다. ^^


제가 강조하고 싶은 내용은
리버싱이란 컴퓨터와 OS 내부구조에 정통해야 좋은 성과를 얻을 수 있다
는 것입니다. 


 

  1. showtime 2009.10.08 12:55 신고 댓글주소 | 수정 | 삭제 | 댓글

    잘 읽고 갑니다~ ^^ ㅋ

  2. 감동 2009.12.03 02:29 신고 댓글주소 | 수정 | 삭제 | 댓글

    칼럼에 있는 모든 글을 한자도 안빼고 다 읽었습니다.

    읽어 내려오면서 문장 실력에 감탄을 하지 않을수 없었습니다.

    지금부터 카테고리에 있는 모든 글을 읽어보고자 합니다.

    제가 얼마나 이해 할 수 있을지 모르나.. 1/10만이라도 깨우쳤으면 하는 바램입니다.

    • ReverseCore 2009.12.03 21:28 신고 댓글주소 | 수정 | 삭제

      칭찬 감사합니다. ^^

      하고자 하는 의지만 있다면 누구나 리버싱을 배울 수 있다고 생각합니다.

      질문 있으시면 올려주시고요~

      감사합니다.

  3. 호환 2010.05.24 13:35 신고 댓글주소 | 수정 | 삭제 | 댓글

    구독해놓고 훑어만 보다가 한번 정독을 해보려고 합니다 언제나 주옥같은 글 감사드립니다.

    공부하는 학생의 신분으로써 언제쯤 따라잡을 수 있을까 막막하지만 열심히 해보겠습니다!!

  4. 솔이파파 2010.09.27 10:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    즐겨찾기 등록한지 벌써 6~7개월 넘었는데 아직 제대로 읽어보지도 못했습니다

    년초에 다잡은 마음 다시 잡아 처음부터 열심히 공부하도록 하겠습니다.

    정말 멋진정보 공유해주셔서 감사합니다 ^^;

    • reversecore 2010.09.29 01:26 신고 댓글주소 | 수정 | 삭제

      칭찬 감사합니다. ^^

      본업이 아닌 이상 다른 생소한 분야를 공부한다는 것은 사실 쉬운 일이 아닙니다. 그래도 의욕적으로 공부하시려는 모습이 보기 좋습니다. ^^ 공부하시다가 궁금하신 점 있으시면 질문 올려주세요~

  5. reversing 2010.11.06 09:04 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱에 관심 은 있었지만 리버싱 을 재대로 알수 없어고 어떻게 공부 해야 할지 몰랐습니다.

    그러나 이제 알수 있을꺼 같아 너무 좋습니다~ 이런 좋은 블로그 만들어주셔서 너무 감사합니다.

    앞으로 자주 들려 많이 배우도록 열심히 하겠습니다~ 잘부탁 드립니다!!

  6. systemkiller 2010.12.08 03:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    어쩌다 보니 이런 훌륭한 곳을 찾았네요~

    그럼 열심히 공부해 보겠습니다 훗~

  7. Manwon 2010.12.18 21:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요!! 좋은글 잘 보고갑니다.

    코드분석하다가 궁금한게 생겼는데 질문좀 드려도 될까요??

    어셈 코드를 보다보니

    test al, al 이런식의 코드가 있던데..

    그밑에는 조건 점프문(JE같은)이 있구요

    JE같은경우는 굳이 테스트 하지 않고 JMP문을 쓰면 되지 않나요?

    test al, al 같은 코드는 도대체 어떨때 쓰는건가요??

    • reversecore 2010.12.23 15:29 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      네, 어셈블리 문법인데요.

      간단히 al = 0 인 경우에만 점프하라는 뜻인거죠.

      if al == 0
      jmp XXXX

      요렇게 이해하시면 됩니다.

      감사합니다.

  8. Reverser_H 2011.01.19 19:54 신고 댓글주소 | 수정 | 삭제 | 댓글

    항상 느끼는 거지만 정말

    정리가 잘 돼있다라는 느낌이 듭니다 .^^

  9. 밤벌레 2011.03.02 17:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    오래 전부터 reversecore.com 을 알게 되었는데..
    이렇게 글남기는건 처음이네요..매번 눈팅만하다가....
    제일 첫장으로 와서 글남기네요..^^
    훌륭한 블로그입니다..여기서 많은 지식을 배워가게 되군요..^^;;
    책 출판하시면 저도 구입할 생각입니다..^^;;
    유저모드 다음엔 커널모드 리버싱 부분까지 책 내시면 core님의 추종자가 될듯한..^^
    깔끔한 정리와 글솜씨에 존경을 표합니다...

    자주 들러서 모르는 부분 많이 물어볼께요..
    잘 부탁드려요..^^

  10. 금강군 2011.06.13 10:41 신고 댓글주소 | 수정 | 삭제 | 댓글

    휴... 리버싱하자니 너무 막막했는데 이 블로그가 많은 도움이 될 것 같습니다. 벌써부터 기대가 되네요!! 처음부터 차근차근 배워보도록 하겠습니다~

  11. imovator 2012.07.12 14:58 신고 댓글주소 | 수정 | 삭제 | 댓글

    초급 java개발자인데 프로젝트 관련 문서가 보안이 걸려있어서
    문서DRM 해제 -> win32 api -> api 후킹 등 오늘 여러 경로를 거쳐
    종래에 귀 블로그에 방문하였습니다. 내용이 너무 알차고 좋은것 같습니다.
    글도 잘 쓰시구요. 부럽습니다. ㅋ

    진로 혹은 자기개발에 참고하고싶어서 질문을 하나 하고싶습니다.
    리버싱은 C나 C++를 선행학습해야 하는 것인지 그리고, API후킹등을 통해
    문서 DRM해제 등의 결과물을 얻는 다는것은 귀 블로그를 통하여 얻을 수 있는지
    가능하다면 어느정도의 노력(시간,열정)을 쏟아부음으로서 달성할 수 있는지 궁금합니다.

  12. 장호정 2012.08.28 21:56 신고 댓글주소 | 수정 | 삭제 | 댓글

    우연히 프로그래밍 쪽에 관심을 두다가 리버스 엔지니어링 이라는 것을 발견했습니다.
    정독 시도해 보겠습니다!

    기초적으로 알아야하는 지식좀 말씀해 주셨으면 감사합니다 ㅠㅠ

  13. Obelbert 2012.09.20 10:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    역시 대단하세요.

  14. lunettes de soleil pas cher 2013.04.24 20:48 신고 댓글주소 | 수정 | 삭제 | 댓글

    귀를 기울여봐 가슴이 뛰는 소리가 들리면 네가 사랑하는 그 사람 널 사랑하고 있는거야.

  15. kshmk 2014.06.08 21:52 신고 댓글주소 | 수정 | 삭제 | 댓글

    OS공부를 한사람들은 리버싱공부가 좀더 쉬울것 같군요





티스토리 툴바