어플리케이션 후킹(Application Hooking) 설계(디자인)에 대한 설명입니다. 후킹 방법을 결정하고, 검증하는 과정을 보여드립니다. 



후킹 방법 결정 - 무엇을? 어떻게? 후킹 할 것인가?


우리의 목표는 [HxD.exe 프로그램에서 PE 파일을 열었을 때 상태바의 "Offset: XXXX" 문자열에 "RVA: YYYY" 문자열을 추가하기]  입니다.


기존 어플리케이션에 어떤 기능을 추가(혹은 수정) 하려고 마음을 먹었다면 그 다음에는 구체적인 방법에 대해 고민을 해야 합니다. 즉, 후킹 설계 과정으로 들어가야 합니다.


윈도우즈 OS의 대표적인 후킹 기법은 "메시지 후킹(Message Hooking)""API 후킹(API Hooking)" 입니다. 둘 중에서 목표 달성에 더 적합하고 구현이 편리한 방법을 사용하는 것이 좋을 것입니다.


일반적으로는 메시지 후킹 기법이 더 간단하고 더 안전하다고 볼 수 있습니다. 대신 경우에 따라(특히 GUI 관련) 더 많은 고려사항이 필요한 경우가 있습니다. 따라서 실전에서는 후킹 설계 단계에서 메시지 후킹 방법이 더 편리할지 확인해 보는 것이 좋습니다.



메시지 후킹 기법 검증


우리 목표에 메시지 후킹 기법이 잘 어울릴지 검증해 보도록 하겠습니다. 


Windows OS 는 어플리케이션 윈도우의 GUI 처리 작업을 위해 윈도우 메시지를 이용합니다. HxD.exe 의 상태바도 일종의 윈도우입니다. 프로그램 내부에서 상태바에 특정 문자열을 쓰기 위해 관련된 윈도우 메시지를 전달할 것입니다. 


* 참고 


GUI 관련 API 를 호출하면 GUI 작업 처리를 할 수 있기 때문에 마치 윈도우 메시지를 사용하지 않고도 작업이 가능한 것처럼 생각될 수도 있습니다. 그러나 실제로는 API 내부에서 윈도우 메시지를 보내는 것입니다. 일반적인 GUI 작업은 메시지 기반으로 동작한다는 것을 기억하시기 바랍니다.


HxD.exe 의 상태바에 있는 "Offset: XXXX" 문자열이 변경될 때 상태바 윈도우 프로시저(Window Procedure)에서 처리하는 윈도우 메시지들을 확인해 보겠습니다. 먼저 HxD.exe 프로그램을 실행 하신 후 적당한 PE 파일을 열어 주세요.


그리고 윈도우 메시지를 모니터링 하기 위해 Spy++ 유틸리티를 실행합니다.



<그림 3 - Spy++ 실행화면>


* 참고


윈도우 메시지 확인에 있어서 Spy++ 은 최고의 유틸리티입니다. 기본 동작 원리는 윈도우 메시지 후킹입니다. 모니터링 대상 프로세스에 DLL 을 인젝션 시켜서 사용자가 원하는 메시지를 모니터링 합니다. Spy++ 은 Microsoft Visual Studio 패키지에 포함된 유틸리티 입니다. 


Spy++의 툴바에서 "Log Messages... (Ctrl+M)" 버튼을 선택합니다. (또는 "Spy - Log Messages..." 메뉴를 선택하셔도 됩니다.)



<그림 4 - Log Messages... (Ctrl+M) 툴바 버튼>


Message Options 다이알로그가 나타납니다.



<그림 5 - Message Options 다이알로그>


Windows 탭의 Finder Tool 을 이용할 것입니다. Finder Tool 아이콘을 마우스 버튼을 누른 채로 드래그 하면 마우스 포인터가 과녁 모양으로 바뀝니다. 이 과녁 모양의 마우스 포인터를 HxD 의 상태바 윈도우에 위치시킨 후 마우스 버튼에서 손을 떼면 Spy++ 의 타겟(Target) 윈도우로 설정됩니다. (과녁 모양의 마우스 포인터 밑에 있는 윈도우는 두꺼운 검은색 테두리가 생겨서 잘 알아 볼 수 있습니다.)



<그림 6 - Finder Tool 로 상태바 설정>


이제 Spy++ 의 Message Options 다이알로그의 "Selected Object" 섹션에 지금 선택된 HxD 의 상태바 윈도우에 대한 정보들이 표시됩니다.



<그림 7 - HxD 의 상태바 윈도우 정보>


각 정보들이 나타내는 의미는 <표 1>과 같습니다.


 항목

 의미

 

 Window

 윈도우 핸들

 001B0362

 Text

 윈도우 텍스트

 Offset: 0

 Class

 윈도우 클래스 이름

 TXmStatusBar

 Style

 윈도우 스타일

 54000100

 Rect

 윈도우 위치와 크기

 (15, 663)-(589, 684) 574x21

 Thread ID

 윈도우를 생성한 스레드 ID

 00000150

 Process ID

 윈도우가 속한 프로세스 ID

 00000F30


<표 1 - Selected Object 항목들의 의미>


* 참고


Spy++ 에서 보여주는 상태바 윈도우의 정보는 나중에 메시지 후킹을 구현할 때 좋은 참고자료가 됩니다.


윈도우 클래스 이름이 "TXmStatusBar" 인 걸로 봐서 윈도우 기본 상태바(StatusBar)를 서브클래싱(SubClassing) 한 것으로 추정됩니다. 그렇다면 기본 동작은 윈도우 기본 상태바와 비슷할 것이라고 예상해 봅니다.


Message Options 다이알로그의 [확인] 버튼을 선택하면 이제부터 Spy++ 은 HxD 의 상태바 메시지를 모니터링하기 시작 합니다. 시험 삼아서 마우스 포인터를 상태바 위에서 이리저리 이동해 보시기 바랍니다. Spy++ 화면에 마우스 관련 메시지가 많이 나타날 것입니다.



<그림 8 - 마우스 이동 메시지>


Spy++ 의 메시지 캡쳐 옵션을 디폴트인 'ALL' 로 설정하였기 때문에 상태바로 전달되는 모든 메시지가 표시되는 것입니다. 우리가 진짜 궁금한 내용은 상태바에 문자열이 써지는 순간에 어떤 메시지를 받느냐 하는 것입니다. 


Spy++ 툴바의 'Clear Log (Del)' 버튼을 선택하여 지금까지 쌓인 로그를 지워버립니다. 그리고 HxD.exe 의 메인 화면 내의 아무 부분을 마우스로 클릭하시기 바랍니다. 마우스가 선택한 파일의 옵셋을 상태바에 출력하기 위해 메시지가 전달될 것입니다.



<그림 9 - 문자열 출력 메시지>


HxD 메인 윈도우에서 마우스 클릭을 한번 하면 정확히 9개의 메시지 로그가 출력됩니다. (제가 보기 편하게 들여쓰기를 하였습니다.)


<00001> 001B0362 S message:0x040A [User-defined:WM_USER+10] wParam:00000000 lParam:0012FA84

<00002> 001B0362 R message:0x040A [User-defined:WM_USER+10] lResult:00000001


<00003> 001B0362 P WM_PAINT hdc:00000000


<00004> 001B0362 S message:0x0401 [User-defined:WM_USER+1] wParam:00000000 lParam:01A06768

<00005> 001B0362 S   WM_PAINT hdc:00000000

<00006> 001B0362 S     WM_ERASEBKGND hdc:33010BC2

<00007> 001B0362 R     WM_ERASEBKGND fErased:True

<00008> 001B0362 R   WM_PAINT

<00009> 001B0362 R message:0x0401 [User-defined:WM_USER+1] lResult:00000001


1번 로그의 메시지는 WM_USER(0x400)+A 이고 그 때의 lParam 값은 0012FA84 입니다. lParam 값이 마치 스택의 주소를 가리키는 것으로 추정됩니다. 그리고 4번 로그의 메시지는 WM_USER(0x400)+1 이고 lParam 값은 01A06768 입니다. 이 값 또한 메모리 주소를 표시한다고 추정해 볼 수 있겠습니다. 


마우스(또는 키보드)를 이용하여 HxD 메인 윈도우의 커서를 다른 옵셋으로 이동시키면 기본적으로 이와 동일한 9 개의 메시지 로그가 기록됩니다. 그리고 4 번째 로그의 lParam 값은 계속 바뀌는 것을 알 수 있습니다. (아마 동적 할당 메모리로 추정됩니다.)


따라서 상태바 윈도우는 사용자 정의 메시지인 WM_USER+1 또는 WM_USER+A 메시지를 받아서 lParam 이 가리키는 주소의 문자열을 상태바 윈도우에 쓴다고 추정해 볼 수 있겠습니다. 그 중에서도 4번 로그 메시지 WM_USER+1 을 받은 직후 WM_PAINT 와 WM_ERASEBKGND 메시지가 연속해서 나타나는 걸로 봐서는 WM_USER+1 메시지가 상태바 윈도우에 실제 값을 쓰라는 명령으로 보입니다.


디버거를 이용하여 lParam 이 가리키는 주소를 확인해보면 앞에서 추론한 내용이 맞는지 알 수 있겠지요.


* 참고


WM_PAINT 는 윈도우를 다시 그릴 때 발생되고, WM_ERASEBKGND 는 윈도우 배경을 지울 때 발생됩니다. WM_USER (0x400) 이후부터는 사용자 정의 메시지로서 프로그래머가 마음대로 지정해서 사용할 수 있습니다. 물론 메시지를 받는 윈도우 프로시저에서 사용자 정의 메시지를 잘 처리할 수 있도록 구현해야 합니다. 해당 메시지에 대한 더 자세한 설명은 MSDN 을 참고하시기 바랍니다.



디버깅


OllyDbg 를 실행하여 HxD.exe 프로세스에 Attach 시킵니다. 디버거는 ntdll.dll 메모리 영역의 System Break Point 위치에서 멈춥니다. 디버거를 실행[F9] 시켜 줍니다. 


윈도우 메시지를 디버깅 할 때는 주의사항이 있습니다. 그건 바로 디버기 프로세스(HxD.exe)의 윈도우를 가리면 안된다는 것입니다. 즉 OllyDbg 나 Spy++ 윈도우에 의해 HxD 윈도우가 가려졌다가 나타났다가 하게 되면 불필요한 로그가 Spy++ 에 쌓이게 됩니다. (물론 Spy++ 옵션을 고쳐서 모니터링 메시지를 필요한 것 만으로 제한해도 됩니다.) 


작업 편의상 각 윈도우들을 독립적으로 배치 시켜 주시기 바랍니다.



<그림 10 - 윈도우 배치>


다시 Spy++ 의 로그를 깨끗이 지우신 다음 마우스로 HxD 메인 윈도우 아무 곳이나 선택해 주세요. 제 경우에 Spy++ 의 WM_USER+1 로그의 lParam 주소는 01A0BA28 입니다. 



<그림 11 - 새로운 lParam 값>


이 주소를 OllyDbg 의 메모리 윈도우에서 검색해 보겠습니다.



<그림 12 - OllyDbg 에서 확인한 lParam 내용>


HxD 의 상태바에 나타난 것과 동일한 문자열이 ASCII 형태로 표시되어 있습니다. (이 경우에는 운좋게 예상과 잘 맞아서 쉽게 발견할 수 있었습니다.) 이 WM_USER+1 메시지를 후킹해서 lParam 이 가리키는 문자열("Offset: XXXX")을 읽은 후 RAW -> RVA 변환하여 표시해 주면 목표를 완수 할 수 있을 것 같습니다.


결론적으로 메시지 후킹 방법은 우리 목표에 잘 들어맞는 방법입니다. 다음 포스트에서 실제 메시지 후킹을 구현해 보도록 하겠습니다.


* 참고


사실 제가 처음 떠올렸던 아이디어는 단순한 마우스 메시지 후킹이었습니다. HxD.exe 상태바의 문자열이 바뀌려면 먼저 마우스로 커서 위치를 바꿔줘야 했으니 마우스 훅 프로시저에서 상태바의 문자열을 읽고 쓸 수 있지 않을까 하고 말이죠. 그러나 조금 더 생각해보니 좋은 아이디어가 아니라서 접었습니다. 이유는 키보드로도 커서 위치를 바꿀 수 있으니 키보드 메시지도 후킹 해야 할 테고, 상태바 윈도우가 다시 그려져야 하는 모든 상황(윈도우 이동, 윈도우가 가려졌다가 다시 나타나기, HxD 에서 다른 파일 열기, 기타)을 고려했을 때 후킹해야 할 메시지가 많아 질 것 같았기 때문입니다. 

따라서 덮어놓고 후킹을 시도하기보다는 먼저 차분히 생각을 정리해보고, 아이디어를 검증하는 단계가 매우 중요하다고 볼 수 있겠습니다.




ReverseCore

저작자 표시 비영리 변경 금지
신고
    이전 댓글 더보기
  1. Lr라 2013.03.04 14:48 신고 댓글주소 | 수정 | 삭제 | 댓글

    어렵군요..ㅎㅎ;;
    그냥 이정도 자료로도 저에겐 벅찹니다..

    • reversecore 2013.03.04 20:17 신고 댓글주소 | 수정 | 삭제

      ^^ 네, 처음 접하시면 분명히 어려운게 사실이지요.

      뭐든지 그렇지만 자꾸 보면 할만해져요~

      리버서들이 천재도 아니고 그냥 평범한 사람들이거든요. 그런데요 자꾸 보다보면 괜찮아요~ ^^

      감사합니다.

  2. supras shoes 2013.04.27 02:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    내가 성공을 했다면 오직 천사와 같은 어머니의 덕이다.Topics related articles:


    http://azza.tistory.com/116 新建文章 11

    http://color114.tistory.com/68 新建文章 6

    http://mycite.tistory.com/78 新建文章 2

    http://bfhopestore.tistory.com/206 新建文章 5

  3. lunettes carrera 2013.04.28 04:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    희미한 달빛이 샘물 위에 떠있으면, http://noq.botasugger.com/ botas ugg online,나는 너를 생각한다.

  4. nike free run shoes 2013.04.29 06:27 신고 댓글주소 | 수정 | 삭제 | 댓글

    노동은 생활의 꽃이요, 삶의 보람이요, 마음의 기쁨이다.Topics related articles:


    http://sma14u.tistory.com/70 新建文章 3

    http://ianbuffet.tistory.com/44?nil_openapi=search 新建文章 12

    http://eshita.tistory.com/120 新建文章 2

    http://starspalace.tistory.com/53 新建文章 6

  5. 현빈지배인 2015.04.25 16:40 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  6. TM이태임 2015.05.19 01:00 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  7. TM이태임 2015.05.19 04:07 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  8. TM이태임 2015.05.20 01:25 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  9. TM이태임 2015.05.20 23:38 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  10. 하대표 2015.06.08 05:49 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  11. 하대표 2015.06.08 08:34 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  12. 하대표 2015.06.08 21:22 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  13. 하대표 2015.06.08 23:23 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  14. 하대표 2015.06.10 17:33 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  15. 하대표 2015.06.10 21:01 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  16. 하대표 2015.06.11 16:48 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  17. 하대표 2015.06.11 20:15 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  18. 하대표 2015.06.12 22:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  19. 하대표 2015.06.13 01:34 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. 하대표 2015.06.15 21:24 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다



리버서들이 가장 많이 사용하는 도구인 디버거(Debugger)에 대해 이야기 해보도록 하겠습니다.


리버싱 현업에서 사용되는 Debugger 들을 간략히 정리해 보겠습니다. 


1. OllyDbg



OllyDbg 는 사용이 편리하고 가볍고 빠른 무료 Debugger 입니다. 도저히 무료라고 보기 힘든 다양한 기능과 많은 Plugin 을 통한 확장성으로 인하여 수 많은 리버서들의 열광적인 지지를 얻고 있습니다. 

OllyDbg 는 리버싱 초보부터 전문가까지 폭넓게 사용되는 가장 인기 있는 디버거입니다.


<그림 1 - OllyDbg>

OllyDbg 의 장점으로는 가볍고 빠르며 상당히 다양한 기능과 많은 옵션을 제공한다는 것입니다. 또한 PlugIn 기능을 통한 확장성을 제공합니다. 가장 사용자가 많고 OllyDbg 를 이용한 리버싱 강좌가 많이 있기 때문에 초보자도 쉽게 배울 수 있습니다. 그리고 무료로 제공된다는 점도 큰 장점입니다.

단점으로는 개인이 혼자서 개발한 거라 업데이트와 후속 제품의 개발 주기가 늦다는 것입니다. 다행히 최근에 OllyDbg 2.0 Final 버전이 릴리즈 되었습니다. 비록 겉모습은 이전 버전과 동일하지만 내부 코드는 완전히 새롭게 프로그래밍 하여 속도와 정확성 등이 크게 향상되었다고 하네요.


2. IDA Pro



Hex-rays 사의 IDA Pro 는 현재 최고의 Disassembler & Debugger 라고 말할 수 있습니다. 과거에는 Disassembler 성격이 강했으나, 수많은 업데이트를 통해 Debugger 기능 또한 막강해 졌습니다. 

수 많은 다양한 기능들을 설명하는 전문 서적이 따로 존재할 정도로 엄청난 기능을 자랑합니다. 또한 Decompiler Plugin 등을 추가로 장착하면 리버싱이 말할 수 없이 편리해 집니다. 그만큼 가격도 비싸지요.

많은 리버싱 전문가들이 IDA Pro 를 주력으로 삼으면서 리버싱 전문 툴로써의 입지를 탄탄히 굳히고 있습니다.

장점으로는 다 써보지도 못할 정도로 다양한 기능과 충실한 업데이트를 들 수 있습니다. 다만 가격이 비싸고 사용법이 비교적 복잡하며 초기 로딩 시간이 좀 걸린다는 것을 단점으로 들 수 있겠습니다. 


<그림 2 – IDA Pro>


3. WinDbg



WinDbg 는 DOS 시절 16 bit 디버거인 debug.exe 의 Windows 버전입니다. 


<그림 3 – Debug.exe>

콘솔 화면에서 키보드만으로 디버깅을 하는 debug.exe 의 사용자 인터페이스를 그대로 가져왔습니다. 저는 이런 스타일의 프로그램을 매우 좋아하지만 반대로 거부감을 갖는 분들도 상당수 계십니다.

유저 모드 디버깅(User Mode Debugging) 분야에서는 사용자 편리성이 뛰어난 OllyDbg 나 IDA Pro 가 꽉 잡고 있습니다. 따라서 WinDbg 는 주로 커널 모드 디버깅(Kernel Mode Debugging)에 주로 사용됩니다. 전설적인 커널 디버거인 SoftICE 의 후속 제품 개발이 중단된 이후 커널 디버깅 분야에서 사실상 독보적인 존재가 되어 버렸습니다. (경쟁 제품이 없는 상태입니다.)

역사가 오래 된 만큼 기능도 다양하고 사용 방법에 대한 전문 서적이 여러 권 나와 있습니다.


<그림 4 - WinDbg>

장점은 커널 디버깅이 가능하다는 것과 Microsoft 에서 직접 만든 디버거라는 점입니다. 시스템 파일에 대한 심볼(Symbol)을 직접 다운 받을 수 있어서 시스템 내부 구조체(Undocumented 포함) 및 API 에 대한 정보를 얻을 수 있습니다. 또한 Windows OS 의 덤프 파일을 읽어 들여 분석할 수 있기 때문에 시스템 크래쉬(Crash)가 발생했을 때 원인을 분석해 낼 수 있습니다. 

단점으로는 다른 디버거들에 비해 좀 떨어지는 사용자 환경과 편의성을 꼽을 수 있겠습니다. (예를 들어 코드에 직접 주석을 입력할 수 없고, Disassembly 코드에서 호출되는 API 이름도 잘 표시되지 않는 등의 불편함이 있습니다.)

그래도 커널 드라이버 개발과 유지보수에 필수적으로 사용되는 디버거 입니다. 리버싱에서는 커널 드라이버 파일 분석에 주로 사용됩니다. 최근에는 대부분 WinDbg 와 VirtualPC(또는 VMWare) 조합으로 커널 디버깅을 수행합니다. 향후 여러분들의 리버싱 실력이 쌓인 후 커널 드라이버(예: Rootkit) 등을 분석할 때 자주 사용될 것입니다.

+---+

지금까지 리버싱 현업에서 사용되는 대표적인 디버거들에 대해서 간략히 살펴보았습니다.

제 경우에는 유저 모드 디버깅에 OllyDbg 1.10 를 사용하고, 커널 모드 디버깅에는 WinDbg 를 사용합니다.

ReverseCore
저작자 표시 비영리 변경 금지
신고

'tool' 카테고리의 다른 글

PEView.exe  (30) 2013.01.27
HxD.exe 기능 추가!  (12) 2012.06.14
리버싱 현업에서 사용되는 디버거(Debugger)들  (31) 2010.09.29
InjDll.exe – DLL Injection/Ejection 전용 도구  (83) 2010.03.15
Process Explorer - 최고의 작업 관리자  (1) 2009.05.03
www.virustotal.com  (3) 2009.03.20
www.google.com  (2) 2009.03.06
  1. reversecore 2010.09.30 19:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    - 봉이님 댓글

    ㅁㅁ님!
    제가 리버싱 공부하면서, 안티리버싱, 악성코드 분석에 관심이 생겨서 인터넷 곳곳 돌아 봤는데요..
    안랩 연구원들 분께서 고려대, 서울여대 악성코드 분석 강의를 하시는 것 같더라구요..
    관련 강의자료를 구할수 있을까요?
    꼭 부탁드립니다.

    • reversecore 2010.09.30 19:26 신고 댓글주소 | 수정 | 삭제

      안녕하세요~

      ^^ 제 실명을 거론 하셔서 제가 약간 가렸습니다. 양해바랍니다.

      강의에 대해서 잘 알고 계시군요?

      해당 자료는 수강생 이외에는 비공개 입니다.

      참고로 저도 한 섹션을 맡았습니다. ^^

  2. reversecore 2010.09.30 19:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    - 봉이님 댓글

    core님이 ㅁㅁ님 맞죠?
    혹시 core님 이름이 틀렸을수도 있으니, 제가 위에 표현한 ㅁㅁ님은 core님입니다.

    • reversecore 2010.09.30 18:45 신고 댓글주소 | 수정 | 삭제

      ^^ 네 제가 그님(?) 맞습니다.

      봉이님께서는 혹시 저를 아시는 분인가요?
      너무 친숙하게 물어보셔서요~ ^^
      (비밀 댓글로 답해주시면 됩니다.)

  3. 2010.10.01 15:39 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.10.03 23:07 신고 댓글주소 | 수정 | 삭제

      안녕하세요.~

      네, 그러셨군요. ^^

      리버싱을 공부하고 싶으시다는 열의가 느껴집니다.

      죄송하지만 강의 자료를 제공해 드릴 수는 없습니다. (제가 작성한 거라도 불가능합니다.)

      그 대신 공부하시다가 막히시는 부분이 있을때 질문 올려 주시면 제 능력껏 답변 달아 드리겠습니다.

      감사합니다.

  4. 김종현 2010.10.02 23:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    처음 인사드리는 김종현입니다.
    테스트중 이상한 현상이 있어 문의 드립니다.

    아래와 같이 정말 간단한 DLL을 만들어 Injection하였는데
    이상하게 iexplore의 자식 프로세스들에서는 ::CreateFile()로
    파일이 생성되지 않는데
    그 이유가 심히 궁금하고
    해결방법에 대하여 고수님들께 조언을 구합니다.

    #include "stdafx.h"
    #include <stdio.h>
    #include <tchar.h>

    /////////////////////////////////////////////////////////////////////////////
    // _Inject

    class _Inject
    {
    public:
    static BOOL IsValidModule(LPCTSTR module_name)
    {
    static LPCTSTR valid_module_name_list[] =
    {
    //_T("notepad.exe"),
    _T("iexplore.exe"),
    NULL
    };
    for (int i=0; valid_module_name_list[i]; i++)
    {
    if (!_tcsicmp(module_name, valid_module_name_list[i])) return TRUE;
    }
    return FALSE;
    }
    }; //_Inject

    static BOOL IsValidCurrentModule()
    {
    TCHAR full_name[MAX_PATH];
    HMODULE module_handle = ::GetModuleHandle(NULL);
    ::GetModuleFileName(module_handle, full_name, MAX_PATH);
    TCHAR* module_name = full_name;
    for (int i=0; full_name[i]; i++)
    {
    if (full_name[i] == '\\') module_name = full_name + i + 1;
    if (full_name[i] == '/') module_name = full_name + i + 1;
    }
    if (!_Inject::IsValidModule(module_name)) return FALSE;
    LPCTSTR file_name = _T("c:\\zzz.txt");
    HANDLE file_handle = ::CreateFile(file_name, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (file_handle != INVALID_HANDLE_VALUE) ::CloseHandle(file_handle);
    else
    {
    TCHAR text[256];
    _stprintf(text, _T("ERROR: Cannot create file \"%s\"!!!\nPID: %d"), file_name, ::GetCurrentProcessId());
    ::MessageBox(NULL, text, module_name, MB_OK);
    }
    return TRUE;
    }

    BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
    {
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    if (IsValidCurrentModule())
    {
    }
    break;
    case DLL_THREAD_ATTACH:
    break;
    case DLL_THREAD_DETACH:
    break;
    case DLL_PROCESS_DETACH:
    break;
    }
    return TRUE;
    }

    EXTERN_C __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
    {
    return CallNextHookEx(NULL, code, wParam, lParam);
    }

    • reversecore 2010.10.04 00:14 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      iexplore.exe 의 자식 프로세스라면...
      7 버전 이후의 탭으로 생성되는 서브 프로세스를 말씀하시는 건지요?

      제 경우에는 정상적으로 c:\\zzz.txt 파일이 생성되었습니다.
      (WinXP SP3 & Win7)

      혹시 다른 경우를 말씀하시는 거라면 다시 질문 올려주세요~ ^^

      감사합니다.

    • 김종현 2010.10.04 12:22 신고 댓글주소 | 수정 | 삭제

      테스트해 주셔서 감사합니다.
      그런데 정작 중요한 환경을 알려 드리지 않았네요.
      제가 테스트한 IE는 버전8이고
      말씀하신데로 탭으로 생기는 서브프로세스에서는
      전부 문제가 발생하고 있습니다.
      유독 부모프로세스만 문제 없구요.

      정확한 정보는 gmail로 다시 보내드리니
      IE8에서 다시 한번 더 봐 주시길 부탁드립니다.

    • reversecore 2010.10.05 21:21 신고 댓글주소 | 수정 | 삭제

      네, 제 테스트 환경과 동일하시네요~

      전 보통 최신 .NET Framework 가 설치되지 않은 환경에서의 실행을 보장하기 위해 /MT 옵션으로 빌드합니다.

      제가 테스트한 파일을 김종현님 email 로 보내드릴테니 한번 실행해 보시고 결과를 알려 주시기 바랍니다. ^^

      * 보안 프로그램등에서 차단당하는 경우도 있으니 참고하시기 바랍니다.

      감사합니다.

  5. lain32 2010.10.04 19:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 :D
    계속해서 좋은글을 많이 올려주셔서 제가 기초가 부실한 부분들이 있었는데
    많은 도움을 받고 있습니다.
    그리고 정말 자세하게 설명하셔서 너무나도 많은 도움이 되고 있구요.
    이렇게 좋은 자료들을 열정적으로 공개해주셔서 너무 감사드립니다.

    힘내시라고 감사에 글을 적어봤습니다. ㅎㅎ

  6. 2011.02.17 22:47 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.18 22:10 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      아주 멋진 크랙미 사이트를 만드셨군요~

      구경 잘 했습니다.

      제 경우에 블로그 홍보를 따로 해본 적은 없습니다. ^^

      이곳에 방문 하시는 분들은 대부분 google 과 naver 검색으로 찾아오시는 분들입니다.

      감사합니다.

    • 2011.02.18 23:02 댓글주소 | 수정 | 삭제

      비밀댓글입니다

  7. 2011.09.02 12:01 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.09.03 14:28 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      비슷한 시간에 디버거를 만드신 다는 질문이 여러개 등록되어있군요. ^^

      OllyDbg 정도의 범용 디버거는 매우 높은 수준의 개발 실력과 시스템에 대한 이해가 필요하다고 생각하시면 됩니다.

      다만 특정 상황에서만 간단히 사용한다면... (Disassembler 도 필요없고 GUI 도 필요없고... 단순한 명령어만 디버깅한다고 했을때... ) 개발 난이도는 상당히 낮출 수 있습니다.

      커널 디버거는 저도 아직 어떻게 만들어야 할지 어렴풋이 감만 잡고 있는 수준입니다. ^^~

      감사합니다.

  8. 비밀 2011.12.21 15:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요? ^-^
    책 원고가 완성되었다고 하셨는데.. 개인적으로. 가능하다면.
    Immunity Debugger 에 대해서도 설명을 넣으면 좋을것 같습니다 :)
    제가 알기로 OllyDbg 를 만들던 분이 Immunity 로 이직하시면서 Python 기반으로 개발하신걸로 알고 있습니다. 물론 무료입니다 :)
    http://debugger.immunityinc.com

    수고하세요~

    • reversecore 2012.01.11 07:53 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      Immunity Debugger 의 python 스크립트는 아주 좋습니다. 저도 많이 써봤지요.

      근데 OllyDbg 개발자는 다른 직업이 있고 그냥 취미로 OllyDbg 를 만든걸로 알고있는데요.

      Immunity Debugger 는 그냥 OllyDbg 클론이구요. 제가 잘 못 알고 있나요?

      감사합니다.

  9. 2012.02.09 20:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    이뮤니티 디버거 같은경우 올리디버거와 같지만 디버거 자체의 라이브러리가 좋다고 말할수 있을거 같아요. 거기다 파이썬 코드로 스크립트 가능하니까 윗분은 뭐 그런 부분을 집어 달라는게 아닐까요?

  10. 고로아기 2012.04.04 13:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    ollydbg로 분석해서 사진찍으신거 보니 스택보면 arg1이라고 나오고 설명에 무슨 함수 썼는지 옆에 다 나오더라고요... 전 안떠서 그런데 어떻게하나요 ㅠ.. 윈7 64비트인데 플러그인같은거 있던데 깔아도 안나와서요...

  11. 흠... 2012.10.29 00:19 신고 댓글주소 | 수정 | 삭제 | 댓글

    Cheat Engine 도 추가...
    분석할 때만 유용한 도구가 있더군요.
    요즘엔 올리디버거랑 IDA 안쓰고, CE를 사용중입니다.

    단순한 메모리 에디터 같은 경우 value를 잡고 변화한 value를 넣어 아닌 값들을 걸러내는데...
    이 아이디어를 확장해서...
    CE에서는 함수나 분기문 코드가 실행 되었는지 안되었는지,
    데이터 search 하는 것처럼 걸러내서 목표한 위치에 바로 갈 수 있으니까요.
    이게 핵심인듯...
    기존엔 프로시저들을 분석해야했지만, 이렇게 하니 시간을 대폭 줄일 수 있네요.

    • reversecore 2012.10.30 07:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      좋은 정보 감사합니다. ^^~

      업무적으로 분석을 하다보면 시간에 쫒길때가 많은데요.
      Cheat Engine 을 구해서 꼭 살펴봐야 겠습니다.

      감사합니다.

  12. 리버서 2012.12.02 23:35 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    저는 옴니아2에서 주로 어플을 짜는데요.
    옴니아2에서 돌아가는 어플은 올리디버그가 안되는것 같은데요.
    옴니아 같은 스마트폰 어플 디스어셈블 하는 방법 같은 거 있으시면 좀 알려주시면 감사하겠습니다.

    • reversecore 2012.12.04 21:01 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      옴니아2라면 Windows CE 말씀하시는것 같군요.

      그건 아마 ARM 계열의 CPU를 사용하겠죠?
      OllyDbg 는 x86 계열의 CPU만 디버깅 할 수 있습니다.

      옴니아 어플 디버깅 방법은 저도 아는 바가 없습니다. ^^

      감사합니다.

  13. 비비케이 2013.03.02 00:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    Cheat Engine도 확실히 괜찮은 편인데 ... 없는거 보고 약간 흠칫했네요. 올리디버거보다 훨씬 선호하는 편입니다.

    • reversecore 2013.03.04 21:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요~

      그렇군요~ 저희 분석가들도 손에 익은 도구만 쓰는 경향이 있어서 다들 IDA Pro 아니면 OllyDbg 만 쓴답니다. CE 도 꼭 써봐야 겠어요~ ^^

      감사합니다.

  14. 크로우 2013.05.01 18:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    올리디버거에서 주석이나오는 부분들에서
    API주석이 제대로안나오는데 어떻게해야되죠?
    책에서는
    Style = MB_OK|MB_APPLMODAL
    Title = "abex' 1st crackme"
    Text = "Make me think your HD is a co-rom"
    h0wner = NULL
    MessageBoxA
    이런식으로 나오는데
    저가 올리디버거를 켜서보면

    자세하게 안나오고 ASCII "문자열"
    이것만 나와요 ㅠㅠ.. 간혹 주소를 잘못찾은줄알고 헷갈려서 헤메네요 ..

  15. 허허실실 2013.05.02 01:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 책보고 열심히 따라 하는 잡생 입니다 ^^ 다름이 아니라 저는 올리디버거 실행 시키면
    You do not have administrative rights on this computer, As a result some debugging features may fail. To enable all OllyDbg features, please log in as administrator 라고 뜨네요 ,,,
    관리자 권한이 어쩌구 저쩌구 하는대요 작동은 되는대 뭔가 느낌표 표시랑 같이 떠서 경고문 같아요 .. 리버스코어님도 이런거 뜨나요 ??

  16. substr_sql 2013.07.09 12:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    IDA PRO 와 현 올리디버거 의 디버거 Adminstraitive 를 같이 사용하면
    debugging Error 03 이 뜨는이유는 무엇일까요 ㄷㄷ;; [압박]

  17. 이x철 2015.01.26 10:36 신고 댓글주소 | 수정 | 삭제 | 댓글

    하드웨어로 밥벌이 하다 네트웤 nos 언어를 공부하다 보니 디버깅이 눈에 띄어
    OllyDbg를 찾게 되었네요..(아직 때는 아니지만요^_^)
    책도 있나 보군요..? 디버거들의 개념을 짚어 주셔서 도움 되었습니다.
    감사합니다(__)
    저와 같은 경고문을 보신 허허실실님...두번째 실행은 admin권한으로 실행 하셨겠죠?ㅎㅎ


HelloReversing.exex




문자열 패치

목표 달성이 눈앞에 다가왔습니다.

MessageBoxW 호출하는 부분을 찾았으니 이제 "Hello World!" 문자열을 "Hello Reversing!" 으로 패치시킬 차례입니다.

디버깅을 재실행[Ctrl+F2] 시키고, main 함수 시작 부분까지 실행합니다.
(401000 에 BP 를 설정[F2]하고 실행[F9] 하세요. - 이 주소를 2 번째 베이스 캠프라고 하겠습니다.)




문자열을 패치하는 2 가지 방법

가장 쉬운 2 가지 방법을 소개합니다.

  • 문자열 버퍼를 직접 수정
  • 다른 메모리 영역에 새로운 문자열을 생성하여 전달



1) 문자열 버퍼를 직접 수정

MessageBoxW 함수의 전달인자 4092A4 의 메모리 주소 내용("Hello World!\)을 직접 수정해 버리는 것입니다.

메모리 윈도우에서 4092A4 로 갑니다 [Ctrl+G].
그리고 주소를 마우스로 선택한 후 [Ctrl+E] 단축키로 에디트 윈도우를 띄웁니다.


<Fig. 16>


'UNICODE' 항목에 "Hello Reversing!" 을 입력합니다.

변경된 코드는 아래와 같습니다.


<Fig. 17>


명령어는 그대로
이지만 MessageBoxW 함수에 전달되는 파라미터의 내용 자체가 변경되었습니다.
(파라미터의 주소도 그대로 입니다. 주소의 내용이 변경된 것입니다.)

이처럼 문자열 버퍼 내용을 직접 수정하는 방법은 사용하기에 가장 간단한 방법입니다.

* 하지만 기존 문자열 버퍼 크기를 잘 고려해서 수정해야만 프로그램이 에러 없이 잘 동작할 수 있습니다.
  즉, 기존 문자열 버퍼 크기 이상의 문자를 입력할 수 없다는 제약 조건이 있습니다.

변경된 내용을 영구히 보존하려면 파일로 만들어야 합니다.
<Fig. 16> 의 dump 윈도우에서 변경된 내용 ("Hello Reversing!" 문자열)을 선택하여
마우스 우측 버튼의 Copy to executable file 메뉴를 선택하면 아래와 같이 hexa 윈도우가 나타납니다.


<Fig. 18>


다시 마우스 우측 버튼의 Save file 메뉴를 선택하고 파일 이름을 HelloReversing.exe 로 해줍니다.

실행해보면 문자열이 성공적으로 변경되었습니다!


<Fig. 19>




2) 다른 메모리 영역에 새로운 문자열을 생성하여 전달

1) 방법은 MessageBoxW 함수의 파라미터인 문자열 버퍼의 내용을 직접 수정하는 방법이었습니다.

간단하지만 그만큼 단점도 존재합니다.
가령 훨씬 긴 문자열로 수정하고 싶을때 해당 버퍼 크기가 작다면
인접한 다른 메모리 영역을 침범하는 buffer overflow 가 발생할 것입니다.

이럴때 사용할 수 있는 방법이 바로 다른 버퍼 주소를 전달하는 것입니다.
적당한 메모리 주소에 변경하고자 하는 긴 문자열을 적어 놓고
MessageBoxW 함수에게 그 주소를 파라미터로 넘겨주는 것입니다.

즉, 버퍼 자체를 변경하는 것이죠.

아이디어가 좋긴 한데 한가지 고려해야 할 사항은 "메모리 어느 영역에 문자열을 써도 되는가?" 입니다.

자세한 설명은 PE header가상 메모리 구조를 알고 계셔야 하므로 나중에 자세히 다루도록 하고,
여기서는 임의로 적절한 영역을 선택하도록 하겠습니다.

우리가 방법 1) 에서 수정한 버퍼는 408000 ~ 40A000 영역 (.rdata section) 입니다.
이 부분을 다시 dump 윈도우로 살펴보죠. dump 윈도우에서 408000 주소로 갑니다. [Ctrl+G]

스크롤을 밑으로 내리다보면 .rdata section 은 아래와 같이 끝이 납니다.


<Fig. 20>


끝부분에 NULL 로 채워진 영역이 보입니다.

* 이곳은 보통 프로그램에서 사용되지 않는 NULL padding 영역입니다.
  프로그램이 메모리에 로딩될 때 최소 기본 단위(보통 1000)가 있습니다.
  비록 프로그램내에서 메모리를 100 크기만큼만 사용한다고 해도 실제로는 최소 기본 단위인 1000 크기가 잡히는 것입니다.
  (나머지 F00 크기의 사용되지 않는 영역은 그냥 NULL 로 채워집니다.)

이곳을 문자열 버퍼로 사용해서 MessageBoxW 함수에 넘겨주면 좋을 것 같습니다.
끝부분의 적당한 위치 409F50 에 출력하고 싶은 문자열을 써주면 됩니다. [Ctrl+E]


<Fig. 21>


버퍼를 새로 구성하였으니 그 다음에 할 일은 MessageBoxW 함수에게 새로운 버퍼 주소를 전달하는 것입니다.

그러기 위해서는 코드를 수정해야 하는데,
이번에는 Code 윈도우에서 Assemble 명령을 사용해서 코드를 수정해 보겠습니다.

아래 그림처럼 cursor 를 401007 주소위치에 놓고 Assemble 명령(단축키 [Space])을 내리면
아래와 같은 Assemble 윈도우가 나타납니다.


<Fig. 22>


새로운 버퍼주소인 409F50 을 입력합니다.

* 디버깅의 강력한 기능중의 하나가 바로 위와 같이 실행중인 프로세스의 코드를 동적으로 패치 시킬 수 있다는 것입니다.

* 향후 실습해 볼 crackme 샘플에서 serial key 검사 코드를 건너뛰는 방법도 코드를 동적으로 패치하는 것입니다.

OllyDbg 에서 MessageBoxW 함수를 실행하면 결과는 <Fig. 19> 와 같습니다.

그런데 위 수정된 코드를 파일로 만들면 제대로 동작하지 않을 것입니다.
이유는 409F50 메모리 주소 때문입니다.

실행 파일이 메모리에 로딩되어 프로세스로써 실행될 때 그대로 1:1 로 로딩되는 것이 아니라,
어떤 규칙에 의해서 올라가게 되며, 보통은 파일과 메모리가 1:1 로 매칭 되지도 않습니다.

즉, 메모리 409F50 에 대응되는 파일 offset 이 존재하지 않는 것이죠.

방법 2)를 파일로 저장하기 위해서는 아래 2가지 방법중에 하나를 사용하시면 됩니다.

  • PE header 를 분석하여 파일에 존재하지만 프로그램에서 사용되지 않는 공간을 버퍼영역으로 선정
  • 파일 끝을 버퍼 영역 만큼 확장하고, PE header 를 수정하여 그 부분을 메모리에 로딩시킴


역시 PE header 를 알아야 하기에 여기서는 설명을 생략하였습니다.

* 앞으로 작성하게 될 PE header 강좌도 기대해 주세요~



배운내용

- OllyDbg 기초 사용법

Step Into [F7] : 하나의 OP code 실행 (CALL 명령을 만나면, 그 함수 코드 내부로 따라 들어감.)
Step Over [F8] : 하나의 OP code 실행 (CALL 명령을 만나면, 따라 들어가지 않고 그냥 함수자체를 실행함.)
Execute till Return [Ctrl+F9] : 함수 코드 내에서 RETN 명령어 까지 실행 (함수 탈출 목적)
Restart [Ctrl+F2] : 다시 처음부터 디버깅 시작. (디버깅 당하는 프로세스를 종료하고 재실행 시킴.)
Go to [Ctrl+G] : 원하는 주소를 찾아감. (코드를 확인할 때 사용. 실행되는 것은 아님.)
Execute till Cursor [F4] : cursor 위치까지 실행함 (디버깅 하고 싶은 주소까지 바로 갈 수 있음.)
Comment [;] : Comment 추가
User Defined Comments [마우스 우측 메뉴 -> Search for -> User defined Comment] : 사용자가 입력한 comment 목록 보기
Set/Reset BreakPoint [F2] : BP 설정/해제
Run [F9] : 실행 (BP 가 걸려있으면 그곳에서 실행이 정지됨.)
All referenced text strings [마우스 우측 메뉴 -> Search for -> All referenced text strings] : 코드에서 참조되는 문자열 보기
All intermodular calls [마우스 우측 메뉴 -> Search for -> All intermodular calls] : 코드에서 호출되는 모든 API 함수 보기
Name in all modules [마우스 우측 메뉴 -> Search for -> Name in all modules] : 모든 API 함수 보기
Edit data [Ctrl+E] : 메모리 수정
Assemble [Space] : Assembly 코드 작성
Copy to executable file [마우스 우측 메뉴 -> Copy to executable file] : 파일의 복사본 생성 (변경사항 반영됨)

- Assembly 기초 명령어

CALL XXXX : XXXX 주소의 함수를 호출
JMP XXXX : XXXX 주소로 점프
PUSH XXXX : 스택에 XXXX 저장
RETN : 스택에 저장된 복귀주소로 점프

- 프로세스 data/code 패치 방법

OllyDbg 의 ‘Edit data’와’Assemble’기능 이용

- 용어

VA (Virtual Address) : 프로세스내의 가상 메모리
OP code (OPeration code) : CPU 명령어 (byte code)
PE (Portable Executable) : Windows 실행 파일(EXE, DLL, SYS)




배워야할 내용

Virtual memory
PE header
Stack frame
OP code (advanced)
OllyDbg (advanced)



Epilogue

여기까지 따라 오시느라고 수고 하셨습니다.

위에 나온 모든 내용을 한번에 이해하기는 어렵습니다.
2 ~ 3번 반복해서 읽고, 직접 실습해 보시기 바랍니다.

C 프로그래밍에서 Hello World! 는 가장 간단한 프로그램이었습니다.
마찬가지로 Hello World! 디버깅 또한 가장 간단한 디버깅입니다.

Hello World! 를 시작으로 C 프로그래밍을 정복하셨듯이 디버깅 역시 정복하시기 바랍니다.

리버싱에서 디버깅이 차지하는 비중은 매우 큽니다. 또한 가장 재미있습니다.

부디 제 글이 디버깅의 재미를 조금이나마 전달해 드렸으면 좋겠습니다.

감사합니다.

저작자 표시 비영리 변경 금지
신고
    이전 댓글 더보기
  1. 이누 2010.07.28 12:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    최고입니다!
    정말 쉽게 잘 설명해주시는군요!

    책은 준비중이시라니, 책도 너무 기대됩니다!

  2. 라이벌 2010.07.31 11:44 신고 댓글주소 | 수정 | 삭제 | 댓글

    와.. 멋진 강의! 감사합니다.
    여기서 정말 많은 것을 배워갑니다. ^^
    책... 저도 너무 기대됩니다. 흘흘

  3. 2010.08.02 22:40 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.08.04 21:56 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      이렇게 한번 해보시기 바랍니다.

      변경하신 부분을 마우스로 죽 선택하신 후 그 위치에서 마우스 우측메뉴를 선택해 보세요~

      감사합니다. ^^

  4. 공부중 2010.08.16 15:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    와..정말 자세한 설명 감사합니다..
    이해가 쏙쏙되네요...
    왠지 모르게 모든 리버싱을 할수있을것같은 자신감이 드는이유는 뭘까요 ㅎㅎ ^^

    • reversecore 2010.08.20 15:24 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      리버싱에 자신감은 매우 중요합니다.

      알고보면 별거 아니거든요. 처음에 겁 먹지 않는 것이 중요하지요. ^^

      분명히 앞으로 리버싱을 잘 하실 것입니다.

  5. 감사합니다 2010.09.27 21:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요,
    정말 훌륭한 글이기에 감사를 표현하지 않으수 없네요.
    어려운 리버싱을 이해하는데 너무 많은 도움이 됩니다.
    감사합니다.

  6. reversingK 2010.11.09 20:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    ㅎㅎ Hello World1강 부터 3강 까지 너무 잘봤습니다.
    리버싱 처음 하지만 강의가 너무 좋아~ 쉽고 재미있게
    따라 한거 같습니다.. 뒤에 있는 강의도 기대됩니다^^
    열심히보고 열심히 배우겠습니다. 이런 좋은 강의
    올려주셔서 너무 감사합니다 ^^

  7. 리버싱입문자 2010.12.14 23:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    이제 막 리버싱에 입문했는데
    다른 강좌들은 너무 어려워서 고생하고있었는데
    이 블로그는 입문자에게 좋은 내용인거 같습니다.
    책도 곧 출판되신다는 소식 들었는데
    기대 많이 하고있습니다.
    감사해요~ ㅎ

  8. Reverser_H 2011.01.19 21:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    강의가 너무 좋네요~

    책이 나오면 바로 절판되지 않을까 하는

    걱정이 들기도 하는군요 ^^

    • reversecore 2011.01.20 00:08 신고 댓글주소 | 수정 | 삭제

      ㅎㅎ

      그것도 나름대로 제겐 의미 있는 일입니다.

      리버싱을 널리 보급하는게 목표니까요~

      책이 나와도 블로그 내용은 계속 유지합니다.

      그리고 더 흥미로운 분석 위주의 내용으로 채울 예정입니다.

      감사합니다.

  9. 아르가페 2011.03.02 18:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    너무 쉽게 설명해주시니 초보인 저로서는 배우기가 그만이네요^^

  10. TeamKhan 2011.03.04 17:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    OllyDbg 에서 MessageBoxW 함수를 실행하면 결과는 <Fig. 19> 와 같습니다.

    그런데 위 수정된 코드를 파일로 만들면 제대로 동작하지 않을 것입니다.
    이유는 409F50 메모리 주소 때문입니다.

    실행 파일이 메모리에 로딩되어 프로세스로써 실행될 때 그대로 1:1 로 로딩되는 것이 아니라,
    어떤 규칙에 의해서 올라가게 되며, 보통은 파일과 메모리가 1:1 로 매칭 되지도 않습니다.

    즉, 메모리 409F50 에 대응되는 파일 offset 이 존재하지 않는 것이죠.
    ==========================================
    라는 본문이 잘 이해가안가는데요... 실행파일이 메모리에 로딩되어서
    실행될때 그대로 1:1로 로딩되는것이 아니라고하셧는데 1:1로 로딩안된다는게
    무슨소린지모르겟구요...파일과 메모리가 1:1로 매칭된다는 말씀도 전혀 이해가안가내요...
    무엇보다 409f50에 대응되는 파일 offset이 존재하지않는다는말도 이해가안갑니다...
    파일 offset이 뭐길래...ㅠ 정말 답답합니다 답변부탁드려요 ..ㅠ

    • reversecore 2011.03.10 11:05 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      PE 파일 구조를 모르시면 저 말을 이해하기 힘드실 겁니다.

      그래서 제가 본문에 PE header 를 공부하셔야 한다고 코멘트를 달아두었죠. ^^

      제 원래 의도는 그러한 개념은 약간 어렵고 재미 없으니 차차 공부하기로 하고, 일단 디버깅에 재미를 가져보자는 것이었습니다.

      리버싱 입문 과정에서부터 PE Header 를 설명하면 너무 지루하기 때문에 일단 기반 기술 설명 없이 디버깅 자체만을 보여드렸습니다.

      질문하신 내용에 대해서 간단히 설명드리자면...
      실행 파일(EXE)이 메모리에 올라가서 실행되면, 파일로 존재할때의 모습과 메모리에 로딩된 모습이 서로 다릅니다.

      어떻게 달라지는지를 알려면 PE 파일 구조를 공부하셔야 되는 것이구요. 리버싱에서 필수 과목이라고 생각하시면 됩니다.

      그리고 파일 Offset 이란 말은 파일을 Hex Editor 로 봤을 때 파일 시작 부터의 거리를 의미합니다. (시작이 0, 끝은 파일크기-1 과 같지요.)

      제 블로그의 PE 설명을 처음부터 읽어보시구요. 또 질문 올려주세요~

      감사합니다.

  11. 대단하세요 2011.03.11 13:24 신고 댓글주소 | 수정 | 삭제 | 댓글

    구글로 몇일쨰 강좌를쳐봐도 제대로된것도없고 어제여기를 발견하게되어서 막꼼꼼히살펴보고해서 지

    금 여기까지오게되었는데.. 제가 해보고싶은것은 게임실행파일이나 다른소프트웨어 등 리버싱을 하고싶은데

    그정도실력까지가려면 오래걸릴까요.. 이번년도는 하려고하는데.. 작성자분께선 정말대단하시네요

    • reversecore 2011.03.16 22:47 신고 댓글주소 | 수정 | 삭제

      안녕하세요. 반갑습니다.

      음... 뭐든지 주변에 좋은 스승이 계시다면 금방 배울 수 있습니다. 1년정도 제대로 교육받으시면 충분히 원하시는 정도의 리버싱이 가능하십니다.

      하지만 저렇게 체계적으로 배울 수 있는 곳은 국내에 몇몇 회사 정도 뿐입니다. (사실 회사에서 배우는것도 거의 독학 수준입니다만... 그래도 아무때나 질문할 수 있다는 것은 엄청난 장점입니다.)

      인터넷으로 독학하신다면... 많은 시간을 투자하시고 시행착오도 겪으셔야 할 것이라고 생각됩니다.

      감사합니다.

  12. 아무개 2011.03.22 00:02 신고 댓글주소 | 수정 | 삭제 | 댓글

    넘 좋은 글을 읽고 가네요...
    근데요.. 한가지 질문,,, 맨위에 있는 첨부파일의 정체는 몬가요?
    앞선 강의에서 사용하던 걸 패치한것 같진 않고요... ????

  13. 갓태어난.. 2011.04.26 17:05 신고 댓글주소 | 수정 | 삭제 | 댓글

    본인에 것을 남에게 나누어 주는것이 결코 쉬운일이 아닌데

    정말 대단하신 분 같습니다.

    첫강부터 정말 설명을 너무 잘해주셔서..쉽게 따라 해보았습니다.

    천천히 꾸준이 열심히 따라가겠습니다.

    앞으로 많은 가르침을 주십시요..

    정말 감사합니다.

  14. 리버싱생초보 2011.06.26 20:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세여 강의 잘보고 있습니다.

    이 글을 따라 하던도중, 방법2)에서 문자열 출력할때 PUSH 409F50 으로 바꾼 후 실행을 하니

    헥스?에서 409F50주소에 있는 문자열만 출력되고 그 밑에 있는 409F60까지는 출력이 되질 않네

    요 ';;

    요약하면은 409F50과 409F60에 Hello, Reversing 을 입력하면 Hello, 까지밖에 안나옵니다 ㅜㅜ 어

    떻게 된걸까여.. 중간에 띄어쓰기하려고 4칸을 비워둔

    게 문제일까여;;?

    • reversecore 2011.06.29 12:09 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      네, 문자열 중간에 NULL(0) 이 삽입되어서 그렇습니다.

      띄어쓰기를 하시려면 공백(Space) 에 해당하는 ASCII 코드 0x20 을 입력해 주시면 됩니다.

      감사합니다.

  15. bomberman 2011.07.15 01:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요, 리버싱 공부를 시작하는 학생입니다 ^^
    아는분 추천으로 들렀는데 정말 도움많이되었습니다.
    자주 들르겠습니다 ~

  16. bomberman 2011.07.15 01:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요, 리버싱 공부를 시작하는 학생입니다 ^^
    아는분 추천으로 들렀는데 정말 도움많이되었습니다.
    자주 들르겠습니다 ~

  17. 잘읽었습니다. 2011.08.01 23:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    잘읽었습니다.^^:
    감사합니다.

  18. hongyang 2012.05.15 22:26 신고 댓글주소 | 수정 | 삭제 | 댓글

    으어엉 눈물이 핑돈다. 책나오면 바로사야지 ㅡㅡㅋ

  19. STIH 2012.06.17 19:55 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은 글 잘보았습니다. : )

  20. TepeRin 2012.06.27 17:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    정말 설명이 자세해서 너무 좋았습니다. 사용을 해도 뭐가 뭔줄 몰랐는데, 이 글이 저의 이해를 도와주네요. 감사합니다.



원하는 코드를 빨리 찾아내는 4가지 방법

자신이 원하는 코드를 빨리 찾아내기 위해서는 여러가지 자신만의 노하우가 있습니다.
여기서는 가장 기본이 되면서 가장 유용한 4가지 방법을 소개합니다.

  • 코드 실행 방법
  • 문자열 검색 방법
  • API 검색 방법 (1) - 호출 코드에 BP
  • API 검색 방법 (2) - API 코드에 직접 BP


0) 이미 아는 사실

4가지 방법을 소개하기 전에 먼저 한번 생각을 해봅시다.

우리는 HelloWorld.exe 프로그램이 "Hello World!" 메시지 박스를 출력한다는 것을 이미 알고 있습니다.
물론 우리가 코드를 만들었기 때문이지만, 이 경우에는 그냥 실행만 해봐도 누구나 알 수 있는 것입니다.

C 언어 개발자들이라면 MessageBox 계열 함수가 머릿속에 떠오를 것입니다.

이렇게 프로그램의 기능이 명확한 경우는 그냥 실행만 해봐도 내부 구조를 대략적으로 추측할 수 있습니다.
(물론 개발/분석 경험이 요구됩니다.)



1) 코드 실행 방법

우리가 원하는 코드main() 함수내의 MessageBox() 함수 호출 코드 입니다.
OllyDbg 디버거로 HelloWorld.exe 를 디버깅하면 어느 순간 자동으로 메시지 박스를 띄워 주는데요,
디버깅을 해나가다 보면 언젠가 main() 함수내의 MessageBox() 함수가 실행되어 "Hello World!"  메시지박스가 출력되겠지요?

이것이 코드 실행 방법의 원리입니다.
기능이 명확한 경우에 소스 코드를 실행해 가면서 찾아가는 것입니다.
코드 크기가 작고 기능이 명확한 경우에 사용할 수 있습니다.
코드 크기가 크고 복잡한 경우에는 적절하지 않습니다.

OllyDbg 와 콘솔 윈도우를 적절한 크기로 조정하여 동시에 살펴 볼 수 있도록 하세요.

베이스 캠프(40104F)에서부터 명령어를 한줄한줄 실행[F8]해 봅니다.
어느 순간 "Hello World!" 메시지 박스가 출력 되어 있을 것입니다.
몇 번 반복해 보시면 특정 함수를 호출 한 이후에 메시지 박스가 나타나는 것을 파악할 수 있습니다.

바로 그 함수가 main() 함수입니다.


<Fig. 7>

즉 <Fig. 7> 의 401145 주소에 있는 CALL 명령어가 호출하는 주소 401000 로 가보면 [F7]
그곳이 바로 우리가 찾는 main() 함수 코드 영역입니다.


<Fig. 8>

"Hello World!" 문자열과 MessageBoxW() 함수 호출 코드가 보이시죠?
정확히 찾아왔습니다.

* VC++ 2008 Express Edition 을 사용하면 기본 문자열은 UNICODE 가 되고,
   문자열 처리 API 함수들도 전부 W(ide) character 계열의 함수로 변경됩니다.




2) 문자열 검색 방법

All referenced text strings : 마우스 우측 메뉴 -> Search for -> All referenced text strings

C 언어를 처음 배울때 문자열은 코드와 다른 영역에 저장된다라고 배웠습니다.
즉, 어딘가에 "Hello World!" 문자열이 저장되어 있을꺼란 얘기입니다.

프로그램내의 문자열을 확인할 수 있는 여러가지 방법이 있습니다만 여기서는 OllyDbg 기능을 설명드리겠습니다.

OllyDbg 가 디버깅할 프로그램을 로딩할 때 나름대로 분석과정을 거치게 되는데요,
코드를 좍~ 훑어서 참조되는 문자열호출되는 API 들을 뽑아내서 따로 목록으로 정리를 해놓습니다.

'All referenced text strings' 명령을 사용하면 아래와 같은 윈도우가 뜨면서 코드에서 참조되는 문자열들을 보여줍니다.


<Fig. 9>

OllyDbg 는 "401007 주소의 PUSH 004092A4 명령이 있는데, 이 명령에서 참조되는 4092A4 주소에는 'Hello World!' 문자열이 존재합니다." 라고 말하고 있는 것이죠.

문자열을 더블 클릭하면 main() 함수의 MessageBoxW() 호출 코드로 갈 수 있습니다.

참고로 메모리상에 있는 문자열의 확인을 위하여 OllyDbg 덤프 윈도우에서 Go to[Ctrl+G] 명령을 써보겠습니다.
(포커스를 덤프 윈도우에 놓고 단축키 명령 [Ctrl+G] 을 내려주세요.)


<Fig. 10>

"Hello World!\n" 문자열과 그 뒤의 NULL 들이 보이시죠?
(VC++ 2008 에서는 static 문자열을 UNICODE 로 저장한다고 아까 설명하였습니다.)
 
"Hello World!" 문자열 대신 "Reversing!" 문자열을 쓸 수 있는 공간이 충분히 존재하는군요.
(우리의 목표를 기억하시죠? 문자열을 패치시킬 것입니다.)

또 한가지 중요한 내용은 4092A4 라는 주소입니다.
지금까지 본 코드의 주소 401XXX 와는 다른 영역입니다.
HelloWorld.exe 프로세스에서 409XXX 주소는 프로그램에서 사용되는 데이타가 저장되는 영역입니다.

코드와 데이타가 파일에서 어떻게 저장되고 메모리에 어떻게 올라가는지
원리를 자세히 배우려면 PE header 를 공부해야 합니다.
(PE header 는 처음에 설명할 내용이 너무 많아서 나중에 따로 정리하여 올리도록 하겠습니다.)



3) API 검색 방법 (1) - 호출 코드에 BP

All intermodular calls : 마우스 우측 메뉴 -> Search for -> All intermodular calls

Windows 프로그래밍에서 모니터 화면(hardware)에 뭔가를 출력하려면
어쩔 수 없이 Win32 API 를 사용하여 OS 에게 화면출력을 요청해야 합니다.

즉, 프로그램이 화면에 뭔가를 출력했다는 얘기는 프로그램 내부에서 Win32 API 를 사용하였다는 뜻입니다.

그렇다면 프로그램의 기능을 보고 사용되었을법한 Win32 API 호출을 예상하고,
그 부분을 찾을 수 있다면 디버깅이 매우 간편해 질 것입니다.

OllyDbg 에는 디버깅 시작전에 미리 코드를 분석하여 사용되는 API 함수 목록을 뽑아내는 기능이 있습니다.

코드에서 사용된 API 호출 목록만 보고 싶을때는 'All intermodular calls' 명령을 사용하면 됩니다.
아래와 같이 프로그램에서 사용되는 API 함수 호출 목록이 나타납니다.
(OllyDbg 옵션에 따라서 표시되는 모양이 약간 틀려질 수 있습니다.)


<Fig. 11>

<Fig. 11> 에 MessageBoxW 호출 코드가 보이시죠?
역시 더블클릭으로 해당 주소(40100E) 로 갈 수 있습니다.

이런 식으로 코드에서 사용된 API 를 예상할 수 있을때 이 방법을 사용하면 쉽게 원하는 부분을 찾아낼 수 있습니다.

* OllyDbg 가 어떻게 호출되는 API의 이름을 정확히 뽑아올 수 있을까요?
  소스코드를 보고 있는것도 아닌데요.
  이 원리를 이해하기 위해서는 역시 PE header 의 IAT(Import Address Table) 구조를 이해해야 합니다.
  (나중에 따로 설명 하겠습니다.)



4) API 검색 방법 (2) - API 코드에 직접 BP

Name in all modules : 마우스 우측 메뉴 -> Search for -> Name in all modules

모든 실행 파일에 대해서 OllyDbg 가 API 함수 호출 목록을 추출할 수 있는것은 아닙니다.
Packer/Protector 를 사용하여 실행파일을 압축 또는 보호해 버리면,
IAT 구조가 변경되거나 OllyDbg 에서 보이지 않게 됩니다. (심지어는 디버깅 자체가 매우 어려워 집니다.)
* Packer(Run Time Packer)
  실행압축 유틸리티. 실행파일의 코드, 데이타, 리소스 등을 압축시켜 버립니다.
  일반 압축 파일과 다른 점은 실행 압축된 파일 그 자체도 실행파일 이라는 것입니다.
  (나중에 대표적인 packer 를 분석해 보도록 하겠습니다.)

* Protector 
  실행압축 기능외에 파일과 그 프로세스를 보호하려는 목적으로
  anti-debugging, anti-emulating, anti-dump 등의 기능을 추가한 유틸리티 입니다.
  Protector 를 상세 분석하려면 높은 분석 지식이 요구됩니다.
  (굉장히 고급 주제이고 너무 재밌는 내용입니다. 나중에 상세히 분석 해보겠습니다.)


이런 경우에는 프로세스 메모리에 로딩된 DLL 코드에 직접 BP 를 걸어 보는 겁니다.

API 라는 것은 OS 에서 제공한 함수이고, 실제로 API 코드는 %system32% 폴더에 *.dll 파일 내부에 구현되어 있습니다.
(kernel32.dll, user32.dll, gdi32.dll, advapi32.dll, ws2_32.dll 등입니다.)

간단히 말해서 우리가 만든 프로그램이 어떤 의미 있는 일(각종 I/O)을 하려면
반드시 OS 에서 제공된 API 를 사용해서 OS 에게 요청해야 하고,
그 API 가 실제 구현된 시스템 DLL 파일들은 우리 프로그램의 프로세스 메모리에 로딩(정확히는 매핑)되어야 합니다.

OllyDbg 에서 확인해 볼까요. View – Memory 메뉴를 선택해 주세요. (단축키 [Alt+M])


<Fig. 12>

<Fig. 12> 는 HelloWorld.exe 프로세스 메모리의 일부분을 보여주고 있습니다.
빨간색으로 표시된 부분이 바로 시스템 DLL 들이 로딩된 메모리 영역입니다.

* 참고로 MessageBoxW() API 는 USER32.DLL 에 속해 있습니다.

OllyDbg 의 또 다른 기본 해석 기능은 프로세스 실행을 위해서
같이 로딩된 시스템 DLL 파일이 제공하는 모든 API 목록을 보여주는 것입니다.

'Name in all modules' 명령을 사용해 보겠습니다.
나타나는 윈도우에서 'Name' 정렬시키고, MessageBoxW 를 타이핑 하면 자동 검색됩니다.


<Fig. 13>

USER32 모듈에서 Export type 의 MessageBoxW 함수를 선택하세요.
(시스템 환경에 따라 버전이 틀려질 수 있습니다.)

더블 클릭 하시면 아래와 같이 USER32.dll 에 구현된 실제 MessageBoxW 함수가 나타납니다.


<Fig. 14>

주소를 보시면 HelloWorld.exe 에서 사용되는 주소와 확연히 틀리다는걸 아실 수 있습니다.

이곳에 BP 를 설치[F2]하고 실행[F9]해 보겠습니다.

만약 HelloWorld.exe 프로그램에서 MessageBoxW 함수를 호출한다면 결국 이곳에서 실행이 멈추게 될 것입니다.
(간단한 원리 입니다.)


<Fig. 15>


예상대로 MessageBoxW 코드 시작에 설치한 BP 에서 실행이 멈췄습니다.

레지스터(Register) 윈도우의 ESP 값이 12FF68 인데, 이것은 프로세스 스택(Stack)의 주소입니다.

스택 윈도우에서 빨간색으로 표시된 부분을 아래에 자세히 표시했습니다.

Stack
address     Value       Comment
-----------------------------------------------------------------------
0012FF68    00401014    CALL to MessageBoxW from HelloWor.0040100E
                        => MessageBoxW 는 40100E주소에서 호출되었으며,
                                             함수 실행이 종료되면 복귀주소는 401014 이다.

0012FF6C    00000000    hOwner = NULL
0012FF70    004092A4    Text = "Hello World!"
0012FF74    0040927C    Title = "www.reversecore.com"
0012FF78    00000000    Style = MB_OK|MB_APPLMODAL


* 함수 호출과 스택의 동작 원리등은 나중에 "Stack Frame" 설명할 때 더 자세히 보도록 하겠습니다.

ESP 의 값 12FF68 에 있는 복귀 주소 401014 는
HelloWorld.exe 의 main 함수내의 MessageBoxW 함수 호출 바로 다음의 코드입니다.

간단히 MessageBoxW 함수의 RETN 명령까지 실행[Ctrl+F9]한 다음,
RETN 명령도 실행[F7]하면 복귀주소 401014 로 갈 수 있습니다.

바로 위에 MessageBoxW  함수 호출 코드가 있는 것을 확인할 수 있습니다. (<Fig. 8> 참고)

(continue)

저작자 표시 비영리 변경 금지
신고
  1. 베리굿 2009.11.07 22:49 신고 댓글주소 | 수정 | 삭제 | 댓글

    감사합니다.

  2. 아르가페 2011.03.02 17:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    잘보고 갑니다.

  3. 2011.04.20 19:19 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.04.28 21:01 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      OllyDbg 의 분석이라고 하시면...

      올리로 파일을 열었을때 진행되는 간단 분석작업을 말씀하시는 것이지요? 그 작업은 코드의 구조를 살피는 것이기 때문에 데이터 메모리 영역은 해당되지 않습니다.

      감사합니다.

  4. 겸이 2012.04.03 20:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    C언어에서도 messagebox()가 있엇나요???

  5. taso 2012.07.05 08:04 신고 댓글주소 | 수정 | 삭제 | 댓글

    호출되는 API함수이름을 olydbg가 알아내는 건, IID의 INT를 참조하는 거겠네요 ㅇ..

  6. 2012.08.19 17:54 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  7. HackPlum 2012.10.17 00:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    아.. ㅠㅠ 너무 어렵네요 ㅠㅠ
    책을 보면서 하고있는데
    블로그에 나와있는 내용이랑은 약간 다른 부분도 있군요.

    • reversecore 2012.10.17 01:11 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      블로그 내용과는 약간 다릅니다.

      공부에 어려움을 느끼시는 것 같은데요.
      제가 도와드릴 수 있는게 있을 지도 모르니, 주저 마시고 질문 해주세요~

      감사합니다.

  8. HackPlum 2012.10.18 10:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    위에서 한대로 Name 을 정렬시키고 MessageBoxW 를 검색했더니
    이상한 다른게 뜨더라구요.. 그래서 결국 그림보고 직접 주소(77D46534)를 찾아가서 USER32.dll 에 구현된 함수를 보았습니다... ㅠㅜ

    • reversecore 2012.10.19 00:42 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      그림 11을 말씀하시는 거라면 마우스 우측 버튼 메뉴의 "Search for - All intermodular callls" 항목을 선택하시면 코드에서 MessageBoxW() API 가 사용되는 코드 주소를 얻을 수 있고요.

      만약 그림 13을 말씀하시는 거라면 마우스 우측 버튼 메뉴의 "Search for - All intermodular callls" 항목을 선택하시면 코드에서 "Name in all modules" 항목을 선택합니다. 그리고 나타나는 다이알로그에서 Name 항목으로 정렬 시킨후 MessageBoxW 를 한글자씩 타이핑합니다. 이때 Type 항목에 Export 라고 표시된 항목이 바로 찾으시는 API 코드 시작 주소입니다. (Type 이 Import 인 경우를 선택하시면 다른 주소가 나타날 수 있습니다.)

      감사합니다.

  9. 2012.11.12 18:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2012.11.12 23:03 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      블로그 내용(그림, 표, 소스, 글)을 퍼가시는건 자제해 주시고요.
      링크만 허용합니다~ ^^

      책의 내용을 스스로 정리/요약하는 정도는 괜찮습니다.
      그대로 옮기지만 않으시면 됩니다.

      감사합니다.

  10. 궁금이 2012.12.12 13:41 신고 댓글주소 | 수정 | 삭제 | 댓글

    그림 15에서 보이는 것 처럼
    ESP값이 12FF68인 부분까지는 진행이 되었습니다.
    그런데 맨 마지막에 "간단히 MessageBoxW함수의 RETN 명령까지 실행한 다음
    RETN 명령도 실행하면 복귀주소 401014로 갈 수 있다"고 나오는데
    그림 15상태에서 아무리 ctrl+f9, f7을 실행해도 엄한데가 나오고
    401014가 안나오는데 어떻게 해야되는지 잘 모르겠어요...

    그리고 책에서는 ESP값이 12FF68가 아니고 조금 다르던데
    책보고 따라할때는 여기 블로그 그림처럼 12FF68가 나오는데
    상관 없는거겠죠???

    좋은책 출간해 주셔서 감사합니다.. (__)

    • reversecore 2012.12.12 23:46 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      지금 보니 그 설명에 문제가 있습니다. ㅡㅡ;;;

      MessageBoxW() 는 내부적으로 MessageBoxExW() 를 호출하는데 일단 MessageBoxExW() 가 호출되면 화면에 메시지박스가 나타나면서 디버깅이 일시 정지 됩니다.

      정확한 설명은 이렇습니다.

      "MessageBoxW() 함수의 RETN 명령어에 BP 를 설치[F2]한 후 실행[F9]합니다. 도중에 메시지박스가 나타나면 [확인]을 선택합니다. 그리고 RETN 명령어에서 디버깅이 멈추면 StepInto[F7]/StepOut[F8] 명령으로 리턴 주소 401014로 갈 수 있습니다."

      좋은 지적 감사합니다.

      스택 주소가 다른 이유는 블로그와 책의 실행파일이 약간 다르고, 책의 실행 환경이 Windows 7 이어서 그런것입니다. 디버깅에는 지장이 없습니다.

      감사합니다.

  11. hj0779 2014.05.24 19:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.. 리버싱 공부하고있는 학생인데요 책을보고 할떄 f7로 따라가고 하는걸 몇일쨰 하고있습니다.
    처음에 시작할떄 004011A0 주소도 다르고 여러가지가 달라서 f7로 따라가는걸 잠시 멈춰둔뒤 이번 강좌를보고 했습니다 근데또 문제가 발생햇습니다.
    search for>All referenced text strings
    햇을떄 사진처럼
    00401002 PUSH Hellowor.0040927C UNICODE"www.reversecore.com"
    00401007 PUSH Hellowor.004092A4 UNICODE"Hello World!"
    처럼나와야하는데
    Disassembly 부분이
    PUSH OFFSET HelloWor.??_C@_1CI@BENPCJB.....이런식으로뜹니다..
    Text string 부분은 정상으로 나오고요..
    Disassembly 부분이 정상적으로나와서 제대로된 주소가 써있어야 문자열패치를 할수있을꺼같습니다..
    뭐가 문제일까요? 저희컴은 윈7 64비트고
    ollydbg 1.1 버전에 advancedolly.dll 플러그인까지 넣어서 문제없이되는걸로 압니다.
    ㅠㅠ 책이랑 블로그랑 겸해서 보고있는중인데 이게안뜨면 더이상못나갈꺼같아요ㅠㅠ

    • reversecore 2014.05.26 01:25 신고 댓글주소 | 수정 | 삭제

      안녕하세요. ReverseCore 입니다.

      PUSH OFFSET HelloWor.??_C@_1CI@BENPCJB 이런식이라면...
      마치 C++ 빌드후 Name Decoration 코드 같습니다.

      혹시 소스 코드를 직접 빌드 하셔서 테스트 하셨나요?
      빌드 환경과 컴파일 옵션에 따라 결과물이 달라지기 때문에,
      책과 동일한 디버깅을 하시려면 제공된 실습 예제 파일을 사용하시면 됩니다.

      www.reversecore.com/104

      * 혹시 이걸로 해결되지 않는다면 다시 질문 올려주시기 바랍니다.

      감사합니다.

  12. hj0779 2014.06.07 16:35 신고 댓글주소 | 수정 | 삭제 | 댓글

    실습 예제 파일로 하니까 됩니다 ..
    하지만 ctrl+e 해서 수정을하려고하니 글씨가 꺠저서 나오는데 어떻게 해결할수없을까요 ..
    그리고 올리디버거 시작할때 영어로you do not have administrative rights on this computer
    As a result,some debugging features may fail.
    To enable all OllyDbg features,
    please log in as administrator.
    Note:you can permanently disable this warning in options
    security긴문장으로 에러? 비슷한게 뜹니다 이거랑 연관있나여?
    필요없는거면 옵션가서 안뜨게 해도되나여 ?

    • reversecore 2014.06.08 00:08 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      문자열 에디트 할 때 글씨가 깨져서 나온다구요?
      혹시 캡쳐해서 보내주실 수 있으실까요?
      reversecore@gmail.com

      그리고 그 경고창은 아마 Win 7 의 관리자 권한 실행을 안해주셔서 나타나는것 같습니다. 문자열 깨지는 거랑은 별 연관성은 없어보입니다. 디버깅 하실 때는 관리자로 로그인 하신 후 올리디버거 아이콘에서 마우스 우측 메뉴의 '관리자 실행' 으로 해보시기 바랍니다. (디버깅 할 때만 UAC 기능을 꺼두셔도 됩니다.)

      감사합니다.

  13. hj0779 2014.06.08 13:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    글자가 꺠졋던 이유가 덤프윈도우에서 컨트롤 e 를눌럿기때문이엿습니다...
    감사합니다. 열심히공부하겟습니다!


HelloWorld.exex

HelloWorld.cpp




Level

초급



Content

"Hello World!" 프로그램을 디버깅 해보고 간단한 패치를 해보도록 하겠습니다.
이를 통하여 디버깅에 대한 감을 잡으실 수 있습니다.



Goal

- 기본적인 디버거 사용방법의 이해
- 간단한 Disassembly code 이해
- 간단한 프로그램 패치(patch)



Tool

Visual C++ 2008 Express Edition
OllyDbg 1.10



Hello World!

모든 C 프로그래머가 최초로 만들어 본 프로그램 Hello World! 를 최초의 디버깅 프로그램으로 결정하였습니다. SW 업계에서의 차지하는 Hello World! 의 의미, 처음 C 를 배울때의 두근거림 그리고 소스 코드의 간결함까지... 이 모든 것이 최초의 디버깅 프로그램으로써 더 할 나위 없이 딱 들어맞는군요.

자신에게 익숙한 C/C++ 개발툴을 이용하여 Hello World! 를 만들어 봅니다.
(Release 모드로 빌드하면 코드가 좀 더 간결해져서 디버깅하기 편합니다.)


<Fig. 1>




디버깅 목표


위에서 만든 HelloWorld.exe 를 실행해보면 당.연.히. "Hello World!" 메시지 박스가 출력될 것입니다. 그냥 디버깅만 하면 재미없으니까 이 문자열을 "Hello Reversing!" 으로 바꾸는걸 목표로 하겠습니다.

그러기 위해서는 먼저 HelloWorld.exe 를 디버깅하여 main() 함수내의 MessageBox() 함수 호출 코드를 찾아야 합니다.

그리고 적절히 해당 문자열 위치를 알아내어 변경시키면 되겠지요.



디버깅 시작

첨부된 HelloWorld.exe 파일을 OllyDbg.exe 로 열어보겠습니다.

* VC++ 도  소스가 있을때 어셈블리 수준의 디버깅이 가능합니다만, 일반적으로는 분석할때 소스가 없으므로 OllyDbg 같은 Win32 전문 디버거를 사용하게 됩니다.


<Fig. 2>


디버깅을 시작하기 전에 간단히
<Fig. 2> 에 보이는 OllyDbg 의 메인 화면 구성에 대해 설명드리겠습니다.

- code :
기본적으로 disassembly code 를 표시하고 각종 comment, label 을 보여주며 코드를 분석하여 loop, jump 위치 등의 정보를 표시한다.
- register : CPU register 값을 실시간으로 표시하며 특정 register 들은 수정도 가능함.
- dump : 프로세스내의 원하는 memory 주소 위치를 hex ASCII 값으로 표시하고 수정도 가능함.
- stack : ESP register 가 가리키는 프로세스 stack memory 를 실시간으로 표시하고 수정도 가능함.

디버거가 멈춘 곳은
EntryPoint(EP) 코드로써 HelloWorld.exe 의 실행 시작 위치(4011A1)입니다. 일단 EP 코드에서 눈에 띄는건 CALL 명령과 그 밑의 JMP 명령입니다.

Address     OP code        Disassembly       comment
----------------------------------------------------------------------------
004011A1    EB A6160000    CALL 0040284C     ; 0040284C (40284C 주소의 함수를 호출
)
004011A6    E9 A4FEFFFF    JMP 0040104F      ; 0040104F (40104F 주소로 점프)

- Address : 프로세스의 가상메모리(Virtual Address:VA) 내의 주소 위치
- OP code : OPeration code 의 줄임말로써 IA32(또는 x86) CPU 명령어
- Disassembly : OP code 를 보기쉽게 디스어셈 해준 코드
- comment : 디버거에서 추가한 주석 (옵션에 따라 약간씩 다르게 보임)

디스어셈 코드를 처음 보신 분들이라도 위 두줄의 코드는 그 의미가 명확합니다.

"40284C 주소의 함수를 호출(CALL)한 후 40104F 주소로 점프(JMP) 하라"

계속 디버깅을 진행해 보겠습니다.
목표는 우리가 작성한 main() 함수내의 MessageBox() 함수 호출을 확인하는 것입니다.



40284C
함수 따라가기

- Step Into [F7] :
하나의 OP code 실행 (CALL 명령을 만나면, 그 함수 코드 내부로 따라 들어감.)
- Step Over [F8] : 하나의 OP code 실행 (CALL 명령을 만나면, 따라 들어가지 않고 그냥 함수자체를 실행함.)
- Execute till Return [Ctrl+F9] :
함수 코드 내에서 RETN 명령어 까지 실행 (함수 탈출 목적)

F7
단축키로 함수 안으로 따라갈 수 있습니다.


<Fig. 3>


위 코드를 얼핏 보아도
Hello World! 에서는 사용된 적 없는 API 들이 호출되고 있습니다.
이곳은 분명 우리가 찾는 main() 함수가 아니겠군요.
이곳은 VC++ 에서 프로그램 실행을 위해서 추가시킨 (우리 소스코드에는 없지만) VC++ stub code 입니다. (각 컴파일러 종류/버전별로 stub code 는 틀려집니다.)
지금은 신경쓰지 말고 우리의 목표 main() 을 찾아 계속 진행해 보겠습니다.

*
주의사항 : 처음에는 Win32 API 함수들(OllyDbg comment 상에서 빨간색 API 함수 호출 부분)은 따라가지 마세요.  너무 헤멜 수 있습니다. Step over[F8] 로 넘어가세요.

4028E1
주소에 RETN 명령어가 있습니다.
(RETN
은 함수의 끝을 나타내며 함수가 호출된 명령어 바로 다음 명령어로 되돌아 갑니다.)

그곳까지 Step over [F8] 하시거나 또는 Execute till Return [Ctrl+F9]로 한방에 가봅니다.

그리고
RETN 명령어를 실행하면[F7/F8] <Fig. 2> 에서 봤던 4011A6 주소로 오게됩니다.
(C
언어에서 함수를 호출하고 리턴하면 그 다음 명령어로 오는 것을 생각하시면 됩니다.)



40104F 따라가기

4011A6
주소의 JMP 0040104F 명령을 실행해서 40104F 로 갑니다.


 <Fig. 4>


<Fig. 3> 보다 좀 더 복잡해 보이는 VC++ stub code 가 나타났습니다
실력 향상을 원하시는 분들은 이 코드에서 Step In/Over 를 사용해서 마구 헤매셔야(?) 합니다
함수 호출을 너무 깊게 따라가서 너무 힘든 상황이라고 생각되시면 아래의 ‘디버거 좀 더 능숙하게 다루기’ 내용을 참고하셔서 다시 디버깅 하시면 됩니다.

* 헤매야 하는 이유
여러분이 초보자이기 때문입니다. ^^ 각 컴파일러/버전별로 stub code 를 눈에 익혀 놓으시면실전에서는 stub code 처럼 보이는 부분은 빠르게 뛰어 넘을 수 있습니다
마치 C언어 처음 배울때 컴파일 에러를 많이 내보고, 에러 메시지를 눈에 익히는 것과 같다고 할 수 있습니다실전에서 같은 에러 메시지가 발생했을때 능숙하게 해결하기 위함이지요.



디버거 좀 더 능숙하게 다루기

- Restart [Ctrl+F2] : 다시 처음부터 디버깅 시작. (디버깅 당하는 프로세스를 종료하고 재실행 시킴.)
- Go to [Ctrl+G] : 원하는 주소를 찾아감. (코드를 확인할 때 사용. 실행되는 것은 아님.)
- Execute till Cursor [F4] : cursor 위치까지 실행함 (디버깅 하고 싶은 주소까지 바로 갈 수 있음.)
- Comment [;] : Comment 추가
- User Defined Comments : 마우스 우측 메뉴 -> Search for -> User defined Comment
- Set/Reset BreakPoint [F2] : BP 설정/해제
- Run [F9] : 실행 (BP 가 걸려있으면 그곳에서 실행이 정지됨.)

디버깅을 재실행[Ctrl+F2] 하시고 [Ctrl+G] 단축키로 40104F 주소로 갑니다
40104F 주소에 커서가 놓여져 있을텐데요, [F4] 단축키로 바로 날라갑니다
이곳(40104F) 베이스 캠프라고 부르겠습니다

베이스 캠프로 가는 또 다른 방법은 BP(Break Point) 를 설정[F2] 하고 실행[F9] 하는 것입니다디버거는 현재 실행위치서부터 프로세스를 실행하다가 BP 가 걸린 곳에서 멈추게 됩니다. (BP 없으면 그대로 계속 실행)

그럼 이번에는 [;] 단축키로 주석을 달아 볼까요?


<Fig. 5>


프로그래밍에서와 마찬가지로 디버깅에서 주석은 매우 중요한데요, 커서 위치를 잠시 다른 곳에 두고 'User Defined Comments' 메뉴를 선택하면 아래와 같이 사용자가 입력한 주석들이 표시됩니다. 


<Fig. 6>


빨간 글씨로 표시된 부분이 커서 위치입니다. 
주석 위치와 겹쳐지면 빨간 글씨만 나타납니다. 
(그래서 커서위치를 잠시 다른 곳에 두시라고 한겁니다.)

해당 주석을 더블 클릭하면 그 주소로 갈 수 있습니다
(OllyDbg 를 종료하더라도 주석은 *.udd 파일에 보관되기 때문에 다음에 다시 볼 수 있습니다.)

이어지는 강좌에서 '원하는 코드를 빨리 찾는 방법' 을 가르쳐 드릴텐데요
나중에라도 베이스 캠프에서부터 API 호출을 제외한 모든 함수 호출을 일일이 따라가[F7] 보시는걸 권장합니다

(continue)

저작자 표시 비영리 변경 금지
신고
    이전 댓글 더보기
  1. 김태완 2011.02.10 15:54 신고 댓글주소 | 수정 | 삭제 | 댓글

    글 잘읽고 갑니다 ~
    책 발간 하시면 ㅎㅎ바로 구매 하겠습니다~

  2. 리버싱 2011.02.17 19:42 신고 댓글주소 | 수정 | 삭제 | 댓글

    코어님,디스어셈블러의 방식 선형스윕과 재귀순회에 대해서 질문을 드릴게요
    --------------------------------------------------------------------------------
    책에서 선형스윕은 모듈전체를 순서대로 디스어셈하고 재귀순회는 코드 흐름에 따라서 디스어셈한다고 하던데 그러면 재귀순회라면 만약 12345바이트에서 JMP 2409606080(예를 든 주소임)명령어가 있다고하면 12346 바이트는 디스어셈이 안되나요?그러면 12346부터 2409606079까지는 뭐가 들어가나요?기계어?데이터?

    • reversecore 2011.02.18 22:15 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      문의하신 그 두가지 용어는 처음 들어 봤습니다.

      대부분의 Disassember 는 Instruction 단위로 파싱해서 보여줍니다. 예를 들어 12345 주소의 JMP XXXXXXXX 명령어는 5 byte 크기를 가지므로, 그 다음 명령어는 1234A 주소에 나타나겠지요.

      만약 12345 주소부터 파싱을 하고 싶다면... 가능합니다. 다만 명령어가 깨져 보이겠지요.

      감사합니다.

  3. 피파 2011.02.27 11:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    exe나 dll을 올리디버거로 열때 올리디버거의 (1)code window 칸은 코드섹션을 디어셈하는건가요?

  4. 2011.02.28 12:15 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:44 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      GDB 코드를 보면 스택 프레임도 생성되어 있는데,
      디스어셈 표현 방식이 OllyDbg 와는 좀 틀려 보입니다.

      push 로 stack 에 넣어도 되지만 [ESP+X] 형식으로 넣어도 함수 입장에서 보면 파라미터 입니다.

      보통 VC++ 에서는 PUSH 로 파라미터를 전달합니다.
      혹시 어떤 컴파일러를 쓰셨는지요?

      감사합니다.

  5. TeamKhan 2011.03.02 16:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 질문이잇어서 이렇게 댓글을 남기게되는데요
    베이스캠프부터 시작해서 코드를 분석하라고하시는데
    어떻게분석을하라는거죠??그냥 막막하기만한데요...;
    이부분을 분석해보라고하시는의도를 잘모르겟내요...
    글에서는 stub code를 눈에 익혀두면 다음에 디버깅할떄 뛰어넘을수잇다고
    하시는데 왜 뛰어넘는건지??그리고 어떻게 눈에 익혀야되는지 잘모르겟내요...

    • Stares 2011.03.06 17:23 신고 댓글주소 | 수정 | 삭제

      stub code는 컴파일러가 임의로 넣는 코드입니다.
      솔찍히 분석의 필요가없는 코드이기때문에 넘기는것입니다.

      분석이란.. 어셈코드가 어떻게 진행되는지 알아보는것이 분석입니다..
      그 부분을 분석이 아니라 그 부분부터 분석해 나가라는뜻일겁니다~

    • reversecore 2011.03.10 10:53 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      Stares 님, 답변 감사드려요~ 너무 잘 설명해 주셨네요~ ^^

      그리고 눈에 익히는 법은요... 간단합니다...
      눈에 익을 때까지 계속 보는 겁니다.
      누구도 예외 없죠. 지름길은 없어요.
      꾸준히 계속 디버깅을 하다보면 실력이 쌓이는 겁니다.

      그런면에서 리버싱은 시간 투자한 만큼 실력이 늘어나는 참 정직한 분야인것 같아요.

      감사합니다.

  6. 수미르 2011.03.10 15:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱 제대로 공부 해 볼려고 합니다.
    시중에 책도 나와 있지만, 여기 설명이 저한테는 더 와 닿네요.
    감사한 마음으로 강의 잘 보겠습니다.

  7. reverse 2011.03.10 21:02 신고 댓글주소 | 수정 | 삭제 | 댓글

    디버깅 모드로 생성된 파일을 열면 ollydbg로 열게되면

    Module 'HelloWorld' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints!

    이러한 오류가 나는데,, 뭐 때문에 그러는건가요??

    릴리스 모드로 생성된 실행파일은 아무 에러 없이 되네요..

    • reversecore 2011.03.16 23:11 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      OllyDbg 는 파일을 로딩하고 자체적으로 스캔을 쭉~ 합니다. 그때 EP(EntryPoint) 가 첫번째 코드섹션(".text" 또는 ".CODE")의 바깥쪽에 있다면 저런 에러메시지를 출력합니다.

      하지만 디버그 모드라고 해서 EP 가 코드섹션을 벗어나지는 않을 텐데요~ PEView 나 OllyDbg 에서 직접 확인 해보시기 바랍니다.

      감사합니다.

    • reverse_totorohaha 2013.10.02 10:25 신고 댓글주소 | 수정 | 삭제

      안녕하세요 저도 오늘 Visual c++로 hello world 파일을 컴파일 하여서 OllyDbg로 파일을 열었는데 위 메세지가 뜨더라구요
      컴파일 할때 Release로 컴파일 하시면 위 메세지가 뜨지 않습니다.
      컴파일 할때 debug로 컴파일 하면 debug 폴더가... 그리고 release로 컴파일 하면 release 폴더에 exe 파일이 생성되는데 release 폴더에 생성된 exe 파일을 OllyDbg로 실행하시면 됩니다.

  8. reversing 2011.04.20 19:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    올리디버그의 dump window 칸엔 원하는 메모리에 있는 아스키값이나 유니코드값으로 나타나 있다고 하셨는데,저기엔 코드영역메모리와 데이터영역메모리(문자열 같은것)모두 들어있나요?
    /아니면 저곳에 모든 섹션영역의 메모리주소가 다 들어있고 ctrl+G 로 원하는 메모리로 간다는 뜻???

  9. forrok 2011.11.08 18:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    디버깅의 디 자도 모르는 사람인데요

    외람된 질문이지만 이런걸 통해서 무엇을 할 수 있죠?

  10. 처음인데... 2011.11.09 09:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음이라서 하나도 모르겠는데 뭘 공부해야 이걸 이해할 수 있죠?
    영어로 적어 논게 무슨 말인지 하나도 모르겠네요...

    • cqlee 2012.03.20 12:06 신고 댓글주소 | 수정 | 삭제

      저도 공부를 시작하는 입장인데요
      어셈블리관련서적 어려우시더라도 읽으시면 이해하게 됩니다 ^_^ 아직 잘 모르지만 알아가는 단계라 ^_^

  11. cqlee 2012.03.20 12:06 신고 댓글주소 | 수정 | 삭제 | 댓글

    위 cpp 소스코드를 컴파일 하여 생성된 .obj 파일을 cl 명령어를 이용해서 실행파일을
    만드려고 링크 에러를 잡느랴고 고생했습니다 단 한줄 위에 써 넣으면 되는 것을 ㅋㅋㅋ
    오류를 잡을땐 기분좋습니다. ㅋㅋㅋ

    고맙습니다 ^^

  12. tjdrua74 2012.04.03 15:06 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은강좌 잘 봣습니당
    이제 막 리버싱배우는데
    리버싱책보면서 같이보면 이해가 더 잘 되겠네여
    아 그리고 보면서 질문이 생겼어요
    전 집에서 visual c++2010 쓰는데 주소값출력되는게 다른가요??

    • reversecore 2012.06.14 01:27 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      빌드/실행 환경에 따라서 주소값이 약간씩 변할 수 있습니다.

      본문에 첨부된 실행 파일을 사용하시면 보시기 편하실 것입니다.

      감사합니다.

  13. rgs 2012.06.06 12:02 신고 댓글주소 | 수정 | 삭제 | 댓글

    주인장님 요새는 무슨 일을 하고계신지요?
    블로그 다음 내용이 무척 기대됩니다.

  14. 0000 2013.01.31 00:09 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    리버싱도
    익스플로잇처럼
    네트워크에연결되있는
    컴퓨턴를공격할수있나요?

  15. wlfanswk 2013.02.03 21:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    베이스캠프의 선정 기준은 뭔가요?
    책보면서 무작정 따라서 해보고 있는데 나중에 다른 프로그램들도 분석할 때 베이스캠프를 정해서 해야할 텐데 어떠한 기준으로 베이스캠프를 지정해야 할지 잘 모르겠습니다.

    • reversecore 2013.02.08 17:19 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      좋은 질문입니다. ^^
      약간 개인마다 차이가 있고 각자의 노하우가 필요한데요...

      그 부분을 통과하지 못하면 더 이상 진행할 수 없고...
      그곳까지 가는길이 단순 반복적이라면...
      그런 곳이 바로 베이스 캠프를 차리기에 적합한 곳이라 할 수 있습니다.

      제 경우에는 주로 디코딩 루프 전/후, 안티디버깅 코드 전/후, 동적으로 어떤 값이 변경되는 코드 등에 베이스 캠프를 차립니다.

      주로 PE Protector 같이 곳곳에 안티디버깅으로 함정을 파놓은 경우에 베이스 캠프를 차린답니다.

      감사합니다.

  16. wwww 2013.02.05 01:15 신고 댓글주소 | 수정 | 삭제 | 댓글

    주소값이 설명해주신거랑 다르게 계속 바끼는데 왜이런 걸까요..

    • reversecore 2013.02.08 17:16 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      혹시 직접 빌드해서 디버깅 하셨나요?

      Windows Vista/7 에서 Visual C++ 2008/2010/2012 등으로 빌드하면 그런 증상이 나타납니다.

      첨부된 실습 예제로 다시 해보시기 바랍니다.

      감사합니다.

  17. dksjd12 2013.03.21 12:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    첨부해주신 exe파일을 디버깅했는데도 주소값이 다르게 나와요.. 왜그러는 걸까요..

  18. wnrnrxla 2013.03.23 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    제 경우에 address부분이 4011A1 이런식으로 나오지않고
    013D284E 이렇게 나오는데 왜이런건가요?
    현재 윈도우 7 64bit 사용중입니다
    예제를 다운받아서 했습니다

    • dksjd12 2013.03.27 12:39 신고 댓글주소 | 수정 | 삭제

      안녕하세요. 저도 님과 같은 현상으로 고생했는데요.
      윈도우 7에서는 저작자분께서 해주신거와 다른결과가 나오더라구요.
      실습환경을 윈7에서 하시지마시고 가상환경에서 XP를 올린 후에 XP에서 실습을 하신다면 문제없이 진행됩니다~

    • reversecore 2013.04.01 22:16 신고 댓글주소 | 수정 | 삭제

      아, 문제를 해결 하셨군요.

      Vista/7/8 OS 의 ASLR 기능 때문인데요.
      XP 에서 테스트하시거나 ASLR 기능을 제거하고 테스트 하시면 됩니다.

      감사합니다.

    • wnrnrxla 2013.04.04 16:30 신고 댓글주소 | 수정 | 삭제

      아 그렇군요
      해결됬습니다
      감사합니다 ^^

  19. ASLR 제거방법 2013.05.18 18:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    ASLR제거를어떻게하나요??

  20. 방문777 2015.05.28 12:07 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다





티스토리 툴바