'정보'에 해당되는 글 1건

  1. 2010.01.28 질문/답변 코너입니다. (2) (233)


질문/답변 코너를 만든 이후로 많은 분들께서 질문을 해주시고, 답변도 도와 주셨습니다.

모든 분들께 정말로 감사를 드립니다.

댓글로 질문/답변을 진행하고 있는데요, 너무 댓글이 길어져서 사용하기 불편해졌습니다.
그래서 새로 추가하였습니다.

이후부터는 이쪽에 질문/답변을 올려주세요~
감사합니다.

* 예전 질문/답변 코너 링크입니다. (원하시는 내용이 있는지 검색해 보세요~)

질문/답변 코너입니다.

=======================================================

리버스 엔지니어링 분야에 대해 질문이 있으시면 아래의 댓글로 올려주세요. 역시 댓글로 답변을 올려드리겠습니다. 공개하기 어려운 내용은 '비밀글' 에 체크해주세요.

"비도덕적, 불법적" 인 내용은 답변 드릴 수 없음을 이해해 주시기 바랍니다.


댓글, 방명록, 이메일 등으로 많은 분들께서 여러 가지 질문들을 해주십니다. 
그중에 정말 좋은 질문들이 많아서 여러분들과 공유하면 좋겠다고 생각하였습니다.

이제부터 저에게 들어오는 모든 질문과 답변들을 이곳으로 모을 것입니다.
앞으로 질문과 답변은 이곳에서 해주세요~

질문에 대한 답변은 저 뿐만 아니라 제 블로그에 오시는 모든 분들께서 하실 수 있습니다.
문제 해결을 위한 방법은 다양합니다. 저 말고도 다른 분들의 답변은 언제나 환영입니다.

"질문은 좋은 것 입니다. 많이 해주세요. ^^ "

* 댓글로 질문하기 어려운 내용들(긴내용, 첨부파일 등)은 제 이메일(reversecore@gmail.com)로 문의해 주세요.

* 제가 사용하는 GMail 은 PE 파일을 첨부하면 전송 거부를 합니다. (압축을 시켜도 그걸 열어서 확인하지요.)
   => 실행 파일을 첨부해서 보내실때는 확장자를 exex, dllx, zipx 등으로 변경해서 보내주세요.

* 댓글이 너무 많이 달리면 제가 질문/답변 빈 포스트를 또 올릴 겁니다. 그쪽으로 계속 질문 댓글 달아주시면 됩니다.

감사합니다.


ReverseCore

'q&a' 카테고리의 다른 글

질문/답변 코너입니다. (3)  (394) 2011.04.13
질문/답변 코너입니다. (2)  (233) 2010.01.28
질문/답변 코너입니다.  (295) 2009.09.21
    이전 댓글 더보기
  1. 안녕하세요 2010.12.01 12:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요~
    Dll 을 다른 프로세스에 injection 시킨 후 DllMain이 전부 실행된 후에 바로 ejection 시키려고 하는데요, DllMain이 전부 끝났는지를 어떻게 검사해야할지 모르겠습니다. Dll쪽을 건드려서 DllMain의 끝부분에 IPC로 Dll Injecter에 끝났다는 것을 알리는 코드를 추가하는 방법이 있을 것 같기는 한데 제가 작성한 Dll말고 모든 Dll에서 범용적으로 사용될 수 있도록 Dll은 그대로 놔두고 Injecter 쪽에서 DllMain이 끝났는지를 검사하게 하고 싶은데 방법이 없을까요?

    • reversecore 2010.12.03 15:47 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      hThread = CreateRemoteThread(xxxxx);
      WaitForSingleObject(hThread, INFINITE)

      위와 같이 DLL Injection 을 시키면 DllMain() 함수가 리턴할 때까지 WaitForSingleObject() 함수에서 대기합니다.

      DllMain() 에 메시지 박스를 넣고 간단히 테스트해보시면 됩니다.

      감사합니다.

  2. 2010.12.05 15:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.12.10 15:51 신고 댓글주소 | 수정 | 삭제

      안녕하세요. ReverseCore 입니다. ^^

      보내주신 코드를 보았습니다.

      Inject -> patch -> Inject 흐름이더군요.

      2번째 Inject 시에 왜 DllMain() 이 호출되지 않느냐는 질문이신거죠?
      (제가 잘 이해했는지 모르겠군요? ^^)

      저 myhack.dll 이 제 블로그의 파일이라면... 소스코드는 아래와 같을겁니다.

      DWORD WINAPI ThreadProc(LPVOID lParam)
      {
      char szPath[MAX_PATH] = {0,};
      char *szProcess = NULL;

      if( !GetModuleFileName( NULL, szPath, MAX_PATH ) )
      return 1;

      if( !(szProcess = strrchr(szPath, '\\')) )
      return 1;

      szProcess++;
      if( !stricmp(szProcess, "notepad.exe") )
      URLDownloadToFile(NULL, DEF_NAVER_ADDR, DEF_INDEX_PATH, 0, NULL);

      return 0;
      }

      BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
      {
      HANDLE hThread = NULL;

      switch( fdwReason )
      {
      case DLL_PROCESS_ATTACH :
      hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
      CloseHandle(hThread);
      break;
      }

      return TRUE;
      }

      즉, DLL_PROCESS_ATTACH 인 경우에 스레드가 실행되는 것이죠.

      같은 DLL 파일을 같은 프로세스에 연속 Injection 시켜도 DLL_PROCESS_ATTACH 는 한번만 뜨게되고...
      이후부터는 DLL_THREAD_ATTACH 가 뜹니다. 그래서 2 번째 Injection 에는 ThreadProc() 이 실행되지 않은 것이지요.

      Injection 마다 ThreadProc() 을 실행시키려면 myhack.dll 소스코드의 DllMain() 함수를 수정하시면 됩니다.

      * 코드를 보면 DLL 의 RVA 254A 위치에 "EB" 로 한바이트 패치를 하셨는데요..
      제가 그 의도를 잘 이해 못 하겠네요. 이걸 왜 하신 건가요?
      어쩌면 가지고 계신 myhack.dll 파일과 제가 테스트한 myhack.dll 파일이 서로 틀릴 수 도 있겠네요.
      제가 가진 파일에서는 그 주소는 패치할만한 코드가 없거든요. ^^

      감사합니다.

  3. 2010.12.10 16:43 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.12.16 15:39 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      매번 Inject 시 DLL_PROCESS_ATTACH 로 뜨게 하려면...

      Inject -> Eject -> Inject 순으로 해주셔야 합니다.

      정상적으로 Eject 되었다면 메모리에 패치한 내용도 사라지겠죠?

      감사합니다.

  4. 2011.01.08 03:53 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.01.11 10:48 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      매우 재밌는 아이디어입니다~ ^^

      화면 처리용 Win32 API 를 후킹해도 될 것 같고,
      관련 메시지를 후킹해도 될 것 같군요.

      가능하고 안하고의 문제라기 보다는...
      어떤 방법이 좀 더 쉽고 간단할까 하는 문제일것 같습니다.

      감사합니다.

  5. jdi 2011.02.04 18:30 신고 댓글주소 | 수정 | 삭제 | 댓글

    C언어로 간단한 프로그램을 작성하고 main함수를 디버깅해서 어셈코드를 보면
    제가 이론상으로 알고있는 함수 프로로그(ebp백업..) 외에도 아래와 같은 긴 작업을 하는것을
    확인 할 수 있습니다.

    0040D3F0 55 push ebp
    0040D3F1 8B EC mov ebp,esp
    0040D3F3 83 EC 4C sub esp,4Ch
    0040D3F6 53 push ebx
    0040D3F7 56 push esi
    0040D3F8 57 push edi
    0040D3F9 8D 7D B4 lea edi,[ebp-4Ch]
    0040D3FC B9 13 00 00 00 mov ecx,13h
    0040D401 B8 CC CC CC CC mov eax,0CCCCCCCCh
    0040D406 F3 AB rep stos dword ptr [edi]

    ebx, esi, edi를 push하는건 callee saved 레지스터의 백업 절차인거 같긴 한데,
    4ch만큼의 스택영역을 CC로 초기화 하는건 설명이 잘 안되네요..ㅠㅠ
    그냥 컴파일러가 일정한 영역을 지정해서 초기화 한다고 생각하면 되나요??
    저 4ch라는 수치도 vs2005로 컴파일 하면 e4h가 되네요;;

    그리고 어떤 책을 보다 보니 함수의 메인을 캡쳐한 코드에 제가 확인한 CC로 초기화 하는 코드가 존재하지 않더라구요.. 이건 또 어떻게 된 일인지 궁금하기도하고 ;;

    질문이 너무 정리가 안되네요~~ 설연휴 잘보내시구요 답변 부탁드릴게요 ㅎ;;

    • reversecore 2011.02.09 21:46 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      아마 VC++ 에서 DEBUG 모드로 빌드하셨나 봅니다.

      VC++ 특징이 DEBUG 모드 빌드인 경우 스택의 일정 부분 크기를 "CC" 즉 INT3 명령어로 채워버립니다. 이유는 혹시나 프로그램의 버그(버퍼 오버플로우) 발생시에 바로 예외가 발생하여 프로그램이 멈추도록 하려는 것입니다. 만약 저게 없다면... 스트링 처리를 잘 못하여 버퍼 오버플로우가 살짝 일어난 경우 그대로 계속 실행될 수도 있거든요. 그럼 버그를 못잡는 거지요.

      RELEASE 빌드에서는 그러한 과정이 생략되어 있습니다.

      감사합니다.

  6. 봉이 2011.02.10 13:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    코어님 안녕하세요!
    pe 공부하다 어떤건 그냥 그림으로 이해하는게 좋은거 같아서 그러는데요..
    코어님이 포스팅할때 어떤 이미지 편집툴 쓰시는건가요?
    여담입니다만 16진수 계산기 추천해주신거 아주 잘쓰고 있어서 그래픽툴도 추천받아보려구요..
    그럼 좋은 하루 되세요!

    • reversecore 2011.02.18 22:49 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      제가 사용하는 이미지 캡쳐 프로그램은 OpenCapture 입니다. 이걸로 간단한 편집도 하지요. 간혹 윈도우 그림판을 사용할 때도 있습니다.

      감사합니다.

  7. 2011.02.19 02:03 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:52 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      윈도우의 움직임을 모니터링 하고 계시는군요~

      가장 좋은 방법은 메시지 후킹이지요.

      SPY++ 을 생각해 보시면 됩니다.

      GUI 관련 모든 행위는 메시지 기반입니다. 따라서 이러한 메시지만 모니터링 하면 윈도우가 어떻게 움직이고 있는지 다 볼 수 있습니다. 몇몇 API 를 직접 후킹 하는 것 보다 훨씬 좋은 방법이라 생각됩니다.

      감사합니다.

  8. 2011.02.23 14:03 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:56 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      찾으시는게 혹시 이거 아니신가요?

      인젝션된 test.dll 에서 GetModuleHandle(NULL) 을 호출하시면 그 리턴값이 바로 프로세스(notepad.exe)가 로딩된 이미지 베이스 주소입니다.

      감사합니다. ^^

  9. 황순용 2011.03.10 17:19 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요..
    글은 자주 보고 있는데..
    댓글 다는게 익숙치가 않은 터라.. 이제야 처음 인사를 드립니다.
    (아 이쪽이 신규 질문방인거 같아서 ㅎㅎㅎ 다시 한번 올립니다.)

    API 후킹 쪽에 아무리 풀려고 해도 풀리지 않는 숙제가 있어 이렇게 질문을 드립닏.
    socket 후킹 부분입니다.
    mswsock.dll에 있는 NSPStartup을 후킹하여.
    내부에 LPNSP_ROUTINE이 가지고 있는 NSPLookupServiceBegin, NSPLookupServiceNext, NSPLookupServiceEnd의 주소값을 변경하고자 합니다.

    redirect.cpp 코드를 사용하여 NSPStartup을 후킹하려고 했스니다만
    iexplore.exe에 적용을 해보아도 NSPStartup으로 들어오지 않는 것입니다.

    이곳을 소스가 아닌 다른 예제로 해도 그부분은 해결하기가 너무 힘들더라구요..

    어느 시점이 NSPStarup 으로 들어오는지 알 수가 없습니다. 아무래도 dll Injection전에 한번만 로드가 되는거 같은데 이런경우 NSPStartup을 어떻게 찾아서 후킹 할 수가 있을까요?

    아니면 직접 LPNSP_ROUTINE의 NSPLookupServiceBegin 값들을 후킹하는 방법은 없을까요?

    바쁘시겠지만 조그만 조언이라도 부탁드립겠습니다.

    • 황순용 2011.03.11 09:41 신고 댓글주소 | 수정 | 삭제

      하녕하세요.
      아주 조금은 해결이 된 듯 합니다.
      프로세스가 만들어질 당시 한번만 호출이 되는듯 합니다.
      그래서 explorer.exe 나 서비스에서 시작되는 경우 해당 서비스에다가 Injection을 하니 가능하더라구요..

      그런데 또 하나 궁금한게 생겼습니다.
      방법이 이것 뿐이냐 하는 겁니다. 프로세스가 로드될때 젤 먼저 제가 만든 dll를 로드하게 한다던지 하는 방법은 없는 것인가요?

      너무 궁금한게 많아서 죄송합니다. ㅎㅎㅎ

    • reversecore 2011.03.16 23:07 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      질문하신 내용을 잘 읽어 보았습니다.
      일부 해결을 하셨다니 다행이네요~ ^^

      먼저 DLL Injection 의 조건은 kernel32.dll 이 로딩되어야 합니다. (사용자 DLL 은 시스템의 kernel32.dll 보다 먼저 로딩될 수 없습니다.)

      프로세스가 생성되는 순간에 DLL Injection 을 하기 위해서는 Global API Hooking 을 사용하시면 되는데요...

      제 블로그의 "DLL Injection" 파트를 죽 읽어보시면 몇 가지 방법이 있습니다.

      http://www.reversecore.com/38
      (레지스트리 등록 방법, SetWindowsHooks() 이용 방법, ZeResumeThread() 이용 방법)

      궁금한게 많으시다는 것은 좋은겁니다. 그만큼 열정이 있으시다는 뜻이지요. 또 질문 올려주세요~

      감사합니다.

  10. 2011.03.10 21:08 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.03.16 22:32 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      EXECrypter 라면 매우 고급 프로텍터입니다. 언팩이 매우 어렵습니다. 정확한 언패커가 있는지는 모르겠습니다만... 분명 언팩하시는 분들은 계시더군요. 제가 잘 모르는 전용 프로그램을 이용하는 것 같았습니다.

      감사합니다.

  11. 2011.03.12 01:17 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.03.16 22:35 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      ^^ 21세기는 엉뚱, 기발, 창의적인 사람이 대우받는 시대랍니다. J 님께서는 시대를 잘 타고 나신겁니다. 저도 그런게 좋아요~

      말씀하신대로 얼마든지 가능합니다.

      일단 대상 프로세스에 inject.dll 을 침투시켰다면... inject.dll 에서 간단히 LoadLibrary("test.dll") 만 호출해줘도 test.dll 을 메모리에 로딩시킬 수 있습니다.

      물론 또다른 프로세스에게 RemoteThread() 를 이용하여 test.dll 을 인젝션 시킬 수 도 있지요.

      감사합니다.

  12. 2011.03.21 13:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.04.13 00:59 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      사실 LoadLibrary() 리턴값이 로딩 주소입니다. ^^
      (GetModuleHandle() 도 마찬가지 입니다.)

      CreateToolhelp32Snapshot() 는 원격 프로세스에 로딩된 DLL 들의 로딩 주소를 얻을 때 사용합니다.

      모두 같은 프로세스내에 있잖아요?

      같은 논리로 WriteProcessMemory() 를 쓰셔도 되지만 그 보다는 memset() 을 쓰셔도 좋습니다. ^^

      아마 지금쯤 잘 해결 하셨을걸로 생각됩니다.

      요청하신대로 질/답 게시판을 하나더 추가해야 겠습니다.

      감사합니다.

  13. 유상윤 2011.11.13 15:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요? 유상윤입니다. 포스팅된 글들을 읽고 도움이 많이 되었습니다.
    특히 DLL Injection과 관련된 글은 쉽게 이해할 수 있도록 써 주셔서 큰 도움이 됐어요.
    궁금한 점이 있습니다. PE 구조에서의 각 섹션을 파일 별로 가지고 있습니다.
    그 파일들을 조합하여 실행 파일로 만들려면 어떤 작업이 필요한가요?
    헥스 에디터로 열어봤지만 막막하네요.
    아무래도 선행 지식이 부족하다 보니 문제가 막막해진거 같은데요
    필요한 지식이 있다면 소개해주셔요! 미리 답변에 대해서 감사하다는 말 전합니다.
    수고하세요!

  14. 추광 2013.02.15 02:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요~ stealthprocess을 제 프로그램에 적용중인데요.. 다른 경우는 대부분 숨겨지는 듯 한데, ctrl + alt + delete를 통해서 나오는 작업 관리자의 프로세스창에는 프로그램명이 뜨더군요.. 이것의 해결 방법은 없을까요??

  15. longchamp bags uk 2013.04.25 07:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    내가 성공을 했다면 오직 천사와 같은 어머니의 덕이다.Topics related articles:


    http://highflyer.tistory.com/category/travel 新建文章 4

    http://violettalove.tistory.com/53 新建文章 1

    http://juyayang.tistory.com/53 新建文章 7

    http://minamichiaki.tistory.com/130 新建文章 6

  16. prosn 2013.12.09 18:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    인젝션을 시키지 않고 다른 프로세서의 이미지 베이스 주소를 가져오는 방법이 있나요?

  17. 초보 2014.08.07 21:16 신고 댓글주소 | 수정 | 삭제 | 댓글

    이런 질문 드리기에는 너무 죄송하지만 도저히 몰라서 질문합니다 ㅠㅠ
    금방 리버싱 핵심원리 책을 사서 실습하려고 하는 학생입니다.
    그런데 release모드로 빌드해서 exe파일을 만들어서 ollydbg로 돌렸는데 책에 나오는 예제랑
    다르게 나옵니다... 이건 컴파일러 종류가 달라서 그런건가요? 만약에 컴파일러 종류가 다르면
    어떤 컴파일러로 빌드했는지 알수 있을까요? 제가 사용하는 컴파일러는 visual c++ 2010 express입니다

    • Backer 2014.08.08 02:52 신고 댓글주소 | 수정 | 삭제

      컴파일러 종류가 아니라 아마 빌드 옵션에 따라 다른걸로 알고있습니다.
      제 생각엔 http://reversecore.com/104 에서 해당 소스코드와 예제파일을 다운받아 공부하시는걸 추천드립니다.

  18. 쿠크다스ss 2015.04.15 02:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    34장 IE접속제어(553page) 부분을 공부하고있는데요 ollyDbg110 을 이용하여 익스플로어를 attach 하였는데 internetConnectW함수에 BP를 걸걸었는데도 불구하고 멈추질 않네요 그런데 또 올려주신 dll 인젝션 하면 또 후킹이 되고... 뭐가 문제인지 도통 모르겠습니다.

  19. sammysl 2015.05.05 17:49 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. 바이낸 2018.02.10 20:46 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다





티스토리 툴바