안녕하세요. ReverseCore 입니다. 

책 원고 작성을 완료하였습니다.

모든 컨텐츠 작성을 마치고 자체 퇴고(8회)를 완료하였습니다.

이제 출판사에 넘겨줄 수 있겠네요. ^^~



<퇴고 작업을 도와준 아이패드>


분량


8섹션, 61챕터, A4 기준 1000 페이지 입니다.
885 개의 이미지와 65 개의 소스파일이 담겨있습니다.
책 이름도 결정 하였습니다. (나중에 공개할 께요~ ^^)


내용


기존 블로그의 내용 60% + 새로운 컨텐츠 40% 로 구성하였습니다.

블로그에 있는 내용들은 Windows XP + Visual C++ 6.0/2008 환경에서 작업했었습니다. 이를 최신 Windows 7 32bit + Visual C++ 2010 환경으로 재작업을 하였구요. 컨텐츠들의 순서 조정에 많은 고민을 하였습니다.

새로 추가된 내용들은 아래와 같습니다.


64 bit Computing / Debugging
고급 리버싱 (TLS, TEB, PEB, SEH, IA-32 Instruction 해석)
Anti-Debugging (Static, Dynamic, Advanced)
디버깅 실습 (Service, Self-Creation, PEImageSwitching, DebugBlocker)
 



일정


2010년 5월 1일 책을 쓰기로 마음 먹고 2011년 12월 3일 원고를 마감하였네요. 원고 작업만 19 개월 소요되었군요. (블로그 시작한날인 2009년 2월부터 따져보면 벌써 약 33 개월이 지났네요.)

아직까지는 제 인생 최대의 프로젝트라고 말할 수 있겠습니다. ^^

2011년 6월말쯤 8장 마지막 챕터를 끝내고 책에 뭐 빼먹은게 없나 살펴보니, 문득 제가 애초에 기획했던 모든 컨텐츠 작성을 끝냈다는 사실을 깨달았습니다.

약간 멍~ 했죠. 조금 재충전을 하고 퇴고 작업에 들어갔습니다. 노트북으로 들고 다니며 보는데 한계가 있어서 문서를 출력해서 보다가 분량이 너무 많아서 힘들었습니다. 그래서 아이패드에 문서를 전부 입력하고 PDF Viewer 앱과 터치펜으로 퇴고 작업을 했습니다. (퍼포먼스가 확 향상되더군요.) 약 5 개월간의 기나긴 퇴고 작업 끝에 드디어 원고를 탈고 할 수 있었습니다.

마침 아내가 아기와 외출한 시간(12월 3일 토요일 오후 6시)에 제가 계획한 8 단계 퇴고작업의 마지막 작업을 끝마칠 수 있었네요. 


소감


일단 기분이 몹시 좋습니다. 몸과 마음이 날아갈듯 하네요. ^^ 
마치 오랜 여행을 마치고 집에 돌아온 느낌이 드네요. 기쁜 마음에 이렇게 블로그에 글을 올려 봅니다. 


# 작업 속도

책을 쓸 때는 생각보다 작업 속도가 너무 느려서 도대체 언제쯤 책이 완성될 수 있을까 싶었습니다. 하루에 그림 하나 또는 캡쳐 두개 정도 밖에 못 할 때도 많았거든요. 하지만 그런 날들이 하루 이틀 쌓이니까 어느 순간부터는 "내가 언제 이렇게 많은 일을 했지?" 라는 생각이 들면서 목표 지점이 희미하게나마 보이기 시작했습니다. 


# 재작업

책을 쓰면서 가장 힘들었던 순간은 이미 한번 쓴 글을 두번 세번 다시 쓸 때 였습니다. 독자분들께 최신의 리버싱 경험을 드리기 위해 개발도구를 Visual C++ 2010 으로 바꾸고 작업환경을 Windows 7 으로 바꾸었습니다. 그러다보니 기존 문서를 그에 맞게 다시 캡쳐하고 변경된 주소를 찾아 고치는 작업들이 많았습니다. 지금와서 뒤돌아보니 그런 작업들이 가장 기억에 많이 남습니다. 


# 슬럼프

10 여회의 크고 작은 슬럼프를 경험하였습니다. 수많은 재작업과 검증, 생각대로 나오지 않는 글쓰기, 예상보다 훨씬 오래 걸리는 시간, 개인적인 외부 요인 등으로 인해서 글을 쓰지도 못하고 글쓰기 자체가 싫어지는 상황이 몇 번 닥쳤었죠. 스트레스가 쌓인 겁니다.

제가 새벽에 일어나 글을 쓰는 책상이 있는데요, 어느 순간에는 그쪽을 쳐다보기도 싫어지더군요. 그리고 저녁에는 퇴근 후 글을 쓰러 찾아가는 도서관이 있습니다. 한때는 그쪽으로 발길이 도저히 떨어지지 않는 날도 많았습니다.

다행인것은 그때마다 제 자신이 슬럼프 상황인걸 인식하고 극복하려고 노력했다는 것입니다.


# 응원

가끔 블로그에 방문해서 댓글에 답변도 달아드리고 제 책을 응원하는 글을 보면서 힘을 얻곤 했습니다. 그리고 부모님, 아내, 친구들, 회사 동료들까지 많은 분들께서 관심을 가져주시고 격려를 해주셨습니다.

이 자리를 빌어서 모든 분들께 감사 드립니다.

그리고 제가 좋아하는 독서도 많이 하고 사람들과 많이 어울려 다니면서 다시 용기를 얻어서 작업을 이어나갈 수 있었습니다. 그러다 결국 여기까지 올 수 있었구요.

"포기하기 전까지 실패란 없다. 시행착오가 있을 뿐이다. 시행착오를 거듭하다보면 언젠가 결국 성공하게 된다."

위 명언을 계속 새기면서 포기하지 않고 꾸준히 작업했더니 결국 원고가 완성되었습니다.


# 앞으로...

출판사와의 일정이 잡히면 블로그에 다시 공지해 드리겠습니다.

원고 작업을 한번 성공하니 자신감이 충만해 지는게 느껴집니다. 이번에 많은 경험과 시행착오를 겪어보니 두 번째 책도 금방 쓸 수 있을 것 같은 기분입니다. (2 탄을 기획 중인데요. 구체적으로 정리되면 알려드릴께요~)


다시 한번 모든 분들께 감사 드립니다. ^^~


ReverseCore
    이전 댓글 더보기
  1. 지나가다 2012.02.29 17:42 신고 댓글주소 | 수정 | 삭제 | 댓글

    휴.. 정말 대단한 사이트군요.
    .. 옛날.. 생각이 나긴하면서도 ... 다시 한번 이쪽을 공부해보고 싶다는 생각은 가끔했습니다. (지금은 그냥 평범한.. 코더입니다 :) )

    책을 내신다는데.. 필구해서 한번 읽어봐야겠군요. 아직 타오를지 확인해보고 싶어요 :)

  2. 책 언제나오나요 2012.03.01 02:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    빨리 보고싶네요ㅎ
    3월 중반에 나올려나

  3. 나그네 2012.03.02 19:23 신고 댓글주소 | 수정 | 삭제 | 댓글

    오오 정말 기대됩니다. 꼭 사서 보도록 할게요 ㅠ.ㅠ)b

  4. 지름신 2012.03.05 08:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    바쁜 직장인이 단시간에 많은 기술을 습득할 수 있는 책일 듯.
    나오면 바로 사아겠군요.
    수고하셨습니다.

  5. 뿡뿡대마왕 2012.03.06 15:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    드뎌 나오는거군요!!!
    너무 기대됩니다!!
    언제쯤 출간될려나..ㅠㅠ

  6. reversecore 2012.03.06 23:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. ReverseCore 입니다.

    먼저 제 책에 관심을 가져주셔서 대단히 감사합니다. ^^~

    현재 출판사에서 제 원고를 편집/교정/디자인 작업중이며 여름 출간을 목표로 열심히 작업하고 계십니다. 일단 책의 분량도 많고, 책의 완성도를 위해서는 충분한 시간이 필요합니다.

    제가 원고를 더 빨리 완성시켰다면 그만큼 더 빨리 출간되었을텐데요...
    일정과 완성도 중에서 완성도를 선택한 결과입니다.
    그런데 기다리시는 분들이 너무 많으셔서 제가 정말 죄송스럽네요.

    책의 60%는 블로그의 컨텐츠들로 채워지기 때문에 그동안 이곳에서 공부하시는 것도 좋겠습니다.
    그리고 앞으로 블로그에 새로운 컨텐츠를 꾸준히 포스팅 할 계획이니 재밌게 봐주시기 바랍니다.

    감사합니다.

  7. Genesis 2012.03.09 22:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    시간 나시면 카테고리를 분류해서 정리해주시면 안되나요? PE, 후킹 이런씩으로 말이죠.
    제가 리버싱에 입문한지 얼마 안되서 무슨 기술이 있는지 몰라서 어떤 걸 검색 해야할지도 잘 모르겠습니다. 글이 워낙 많아서 어떤 걸 봐야할지도 잘 모르겠구요.

  8. windofme 2012.03.14 05:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    책 출간 열기가 후끈 하군요..
    한국에 이런 책이 얼마나 부족했는지 실태를 보여주는것 같아 매우 아쉽고
    다행이도 여름 출간이라니 기쁘기 까지 복잡 미묘한 심정입니다.

    예쁘게 출간 하시면 싸인회도 하시나요? 커버에 사인한장 받고 싶습니다

  9. TOD 2012.03.21 03:14 신고 댓글주소 | 수정 | 삭제 | 댓글

    아~ 드디어 기다리고 기다리던 책이 나오겠군요.

    1년 넘게 기다린 기분이네요. ㅋㅋ

    어서 빨리 보고 싶어요~ 책 주세요~

  10. 김성겸 2012.04.04 22:47 신고 댓글주소 | 수정 | 삭제 | 댓글

    가격은 대략 정하셨나요?

    그간 많은 책들을 사왔고 보았는데

    몇몇 책은 정말 내용에 비해 책값이 정말 저렴했습니다

    이 블로그의 내용을 대략 살펴보았는데 매우 고가로 책정하셔도 불티나게 팔릴것 같습니다

    그냥 그렇다구요 ㅎㅎ

  11. binish 2012.04.07 15:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    제대로 된 리버싱 책 한 권 나오겠네요! 멋지십니다.. 진정.. ^^

  12. 남현욱 2012.04.10 14:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    무지막지한 노가다를 즐기셨군요...
    읽으면서 전율을 느낍니다. 등에서부터 뒷목까지 짜르르....
    존경합니다. 본받겠습니다.
    본디 책 구매를 꺼리는 저입니다만, 반드시 구매하고 싶어집니다.

  13. lotzelon 2012.04.22 22:04 신고 댓글주소 | 수정 | 삭제 | 댓글

    ^^꼭 사겠습니다!!!
    완전 기대하고 있습니다.
    화이팅화이팅!

  14. 지나가다 2012.05.30 18:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    아웅... >_<);;
    책소식 들어왔나~ 싶어서 간만에 들렀는데 아직이로군요..ㅋㅋ
    기다리다가 목빠지겠어욤_!

  15. 키위는제스프리 2012.06.08 18:26 신고 댓글주소 | 수정 | 삭제 | 댓글

    어서나와라어서~

  16. 2012.06.10 23:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    여름 쯤에 출판 된다고 하는데 아직 소식이 없군요 ㅠ_ㅠ

  17. reversecore 2012.06.14 01:21 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. ReverseCore 입니다.

    제 책은 지금 에디터 분께서 열심히 작업중이십니다.

    몇 달내에 볼 수 있을꺼라 생각합니다. ^^~

  18. 컴공학생 2012.07.06 11:06 신고 댓글주소 | 수정 | 삭제 | 댓글

    지금까지 누구의 도움도 없이 혼자서 리버싱을 공부하다보니
    너무나도 많은 벽이 느껴졌는데, 정말 좋은 책을 쓰셨군요!!
    감사합니다^^

  19. Jayden. 2012.08.30 23:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    수고하셧습니다! 감사드려요!

  20. yrmfpnwshu 2013.04.29 02:11 신고 댓글주소 | 수정 | 삭제 | 댓글

    Hi there, what's up you guys???



기존 InjDll.exe 유틸리티를 업그레이드(Ver. 1.1.1) 하였습니다.

  1. 64bit 지원

  2. <dll path> 의 상대 경로 지원


☞ InjDll.exe - DLL Injection/Ejection 전용 도구


Windows 7 64bit OS 가 보급됨에 따라 리버싱 분야에도 점차 64bit 지원 여부가 중요한 이슈가 되고 있습니다. 저 또한 최근에 64bit 관련 내용을 공부하면서 흥미로운 내용을 많이 접하였습니다. (이번에 작업 중인 리버싱 책에 64bit 리버싱 챕터를 추가시켰습니다.)

각 플랫폼(32/64bit) 별로 Dll Injection 을 하실 때 다음의 내용을 주의해 주시기 바랍니다.

- Target 프로세스가 32bit 인 경우 : Injector & Dll => 모두 32bit (PE32 포멧)
- Target 프로세스가 64bit 인 경우 : Injector & Dll => 모두 64bit (PE32+ 포멧)

* 64bit OS 에서는 32/64bit 프로세스가 모두 실행 가능하므로, Target 프로세스의 PE 포멧을 확인 하신 후 적절한 Injector(InjDll32/InjDll64) 와 DLL 을 사용하시면 됩니다.

* PE32+ 포멧의 파일을 생성하시려면 Visual C++ 2010 Express & Windows SDK 를 설치하시면 됩니다.


ReverseCore

    이전 댓글 더보기
  1. RUIN 2010.12.03 13:01 신고 댓글주소 | 수정 | 삭제 | 댓글

    도대체 책 언제 나와요 ㅠ_ㅠ
    책 Part 1 // Part 2로 나눠서 Part 1부터 먼저 내주셧으면 ㅠㅠ

    • reversecore 2010.12.03 16:14 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      Part 1/2 를 생각해 봤는데요.

      현재로서는 한권에 다 넣는게 좋다고 생각중입니다.

      제 책을 기다려주셔서 감사합니다. ^^

      힘내서 열심히 작업할께요~

    • RUIN 2010.12.03 18:20 신고 댓글주소 | 수정 | 삭제

      네ㅠㅠㅠ........

      최대한 빨리 써주신다면 감사 감사^_^

      감기 조심하세요^^

    • 두둥 2010.12.05 01:31 신고 댓글주소 | 수정 | 삭제

      저도 책 기다리고 있어요..ㅜ.ㅜ

      요새 사이트에 자주 못들어 왔는데 다양한 정보를
      책으로 볼수있는 기회가 빨리 오기를 바랍니다.

    • reversecore 2010.12.10 11:55 신고 댓글주소 | 수정 | 삭제

      네, ^^

      항상 신경써 주시는 두분께 감사드립니다.

  2. Saeglo 2010.12.24 17:48 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    여기서 배운게 정말 많고 항상 잘 보고 있습니다.

    혹시 윈도우가 아닌 다른 OS에서의 리버싱은 다룰 생각이 없으신지 궁금합니다.

    예를 들어 리눅스의 시스템 콜 후킹 같은 -

    실은 제가 최근에 Mac에 대해 공부를 하고 있는데
    국내에서 Mac에 대한 정보는 찾기가 힘들어서
    혼자 공부하기 쉽지 않네요 ㅠㅠ

  3. kaka 2010.12.27 20:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    좋은 글 매일와서 보고 따라해 보고..ㅋㅋ 있습니다.
    일단 책을 좀더 기다려야 한다니..아쉽습니다.
    화이팅~하세요.

    질문인데요..
    올려 놓으신 소스로 win7(32비트) IE8에서 DLL 인젝션을 실행하면 인젝션은 잘됩니다.
    그런데 인젝션된 dll의 DLL_PROCESS_ATTACH 이벤트가 수행되지 않는건
    머가 문젠가요? IE를 관리자 권한으로 실행하면 원하는데로 되던데요...
    직접 인젝션을 시키거나 NewZwResumeThread()을 수행하나 마찬가지네요.

    이것저것 해봐도 DLL_PROCESS_ATTACH 이벤트가 실행되질 안네요 T___T;;

    • reversecore 2010.12.31 00:38 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      어떤 소스 코드를 사용하셨나요?

      제 블로그에 몇 가지 버전의 InjDll 소스가 있습니다. @@~

      제가 http://www.reversecore.com/76 에 있는 InjDll64.exe 와 dummy64.dll 을 가지고 테스트 해보면 잘 되는데요.

      dummy64.dll 소스에 OutputDebugString() 을 추가해서 DbgView 로 확인하면 DLL_PROCESS_ATTACH 가 정확히 뜹니다.

      테스트하신 소스(혹은 실행파일)을 제게 보내주시면 확인해 드리겠습니다.

      감사합니다.

    • kaka 2011.01.03 09:52 신고 댓글주소 | 수정 | 삭제

      새해 복 많이 받으세요..

      아.. 죄송합니다.
      정확히 질문을 하지 못했네요.
      iexplore.exe부모는 DLL_PROCESS_ATTACH가 말씀하신데로 정확히 뜨는데,
      자식 iexplore.exe에게는 DLL_PROCESS_ATTACH나 DLL_THREAD_ATTACH 이벤트가 발생하질 안습니다.

      인젝터는 reversecore님께서 올려놓으신 파일로 했습니다.

    • reversecore 2011.01.07 05:38 신고 댓글주소 | 수정 | 삭제

      아~ iexplore.exe 의 child process 말씀이시군요.

      Global API Hooking 을 써야 하는데요.
      인젝션 시키는 DLL 에 global API Hooking 코드가 준비되어 있어야 합니다. 위 댓글에서 소개한 dummy.dll 에는 그런 기능이 없지요.

      http://www.reversecore.com/79 <- 요기 있는 redirect.dll 파일이 바로 그 파일입니다.

      redirect.dll 을 인젝션 하신 후 IE 의 탭을 마구 띄워서 child process 가 생성되는 순간 자동으로 인젝션이 되면서 DLL_PROCESS_ATTACH 가 뜹니다.

      DbgView 로 확인할 수 있도록 OutputDebugString() 으로 로그를 찍었습니다.

      * Win 7 32bit/64bit 에서 테스트 하였습니다.

      kaka 님께서도 새해 복 많이 받으세요~~~

      감사합니다.

  4. kaka 2010.12.30 17:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    InjDll64.exe와 dummy64.dll로 win7 64 OS에서 테스트해보니
    notepad에 inject(dll_process_attach)후 자동으로 dll_process_detach되던데
    왜그럴까요?

    • reversecore 2010.12.31 00:41 신고 댓글주소 | 수정 | 삭제

      역시 제 환경에서는 잘 되는데요.

      notepad 에 injection 성공하면 DLL_PROCESS_ATTACH 가 뜨고 바로 이어서 DLL_THREAD_DETACH 가 뜹니다. (원격 스레드가 종료되면서 뜨는거죠.)

      메일 주소를 알려주시면 OutputDebugString() 을 추가한 dummy64.dll 을 보내드리겠습니다. 다시 한번 확인해 보시기 바랍니다.

      * 간혹 보안 모듈에서 DLL Injection 을 막는 경우가 있습니다. 근데 그건 인젝션 자체를 막는 거라 올려주신 증상하고도 맞지 않네요.

      감사합니다.

  5. Reversing_H 2011.01.14 10:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    항상 잘보고 잘 배우고 있습니다.
    여기서 질문하나 드릴게요 ~

    제가 리버싱쪽으로 취업을 하고 싶은데,,
    리버싱쪽에서 뽑는거는 잘 못본듯 하고
    다른기술도 같이 병행해야하는 업무인지;

    이쪽에 대해 아는게 없어서 말이죠;;

    조언 부탁드립니다 ^^

    • reversecore 2011.01.14 11:50 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      관리자가 아닌 리버싱 엔지니어를 말씀하시는 거라면...

      제가 알기로는 보안 분야뿐입니다.
      (AV 업체, 온라인 게임 업체...)

      간혹 보안 컨설팅 분야에서 리버싱 관련 지식에 대해 가산점을 부여한다는 얘기만 건네 들은적은 있네요~

      감사합니다.

  6. Reversing_H 2011.01.14 11:01 신고 댓글주소 | 수정 | 삭제 | 댓글

    아,, 한가지더 ;
    보통 악성코드 분석에서 리버싱이
    쓰이는걸로 알고있는데

    그렇다면 악성코드 분석할때
    필요한게 리버싱과
    또 어떤분야가 필요한지
    알고싶습니다.

    질문여러개 드려서
    죄송합니다 ㅠ

    • reversecore 2011.01.14 11:54 신고 댓글주소 | 수정 | 삭제

      회사마다 다르겠습니다만...

      악성코드 분석은 리버싱 지식만 있으면 됩니다. (이것만도 쉽지 않습니다.)

      추가적으로 악성 코드 자체의 지식, 보안 지식 등을 갖춘다면 면접에서 좋은 점수를 받을 수 있겠지요.

      사실 회사마다 사람 뽑는 기준(신규직원의 경우) 은 다 틀려서 말이죠. 어디는 학력을 중시하고, 어디는 성격/기질을 중시하고, 어디는 순수한 실력을 보기도 하고... 그렇답니다. ^^

      감사합니다.

  7. Reversing_H 2011.01.15 20:07 신고 댓글주소 | 수정 | 삭제 | 댓글

    답변 정말 감사드립니다.
    그런데 한가지 더 질문드릴게요;;
    원래 제가 7년전쯤에 프로그래밍쪽이 너무 좋아서
    개발쪽으로 취업을 하려다가 우리나라의 개발직의 종사자분들의
    여러가지 이야기를 들어보니(뭐 IT쪽은 여건이 안좋은건 비슷하지만)
    흥미도 떨어지고 여차저차에서 아예 IT쪽에 손을 놓았다가
    보안쪽에 흥미를 갖고 다시 공부를 시작했습니다.
    하지만 보안이라는 분야에 대해 처음 접하고 보안자체도 워낙 종류가
    많더군요;; 그리고 신입이 바로 들어가기도 쉽지 않은 분야이구요.
    그래서 리눅스 계열의 서버쪽에 우선 취업을 해서 이직하려고 준비하던중에
    리버싱이라는 분야를 알게 됐고 매우 흥미를 가지게 되었습니다.
    정말 이건 충격자체였고, 바로 이거다라는 느낌을 받았습니다.
    하지만 이걸 알게된것이 얼마전이고 말 그대로 실력이 없습니다.
    목표는 리버싱 일을 하는게 제 목표이긴 하지만요.
    여기서 질문을 드리자면
    뭐 물론 제일 좋은것은 처음부터 리버싱 업무를 하는 곳에 취직하는게 제일
    좋겠지만,, 제가 여건상 돈을 벌어야 하기에;; 바로 들어가기에는
    시간적이 여유와 자금적 여유가 없어서 프로그래밍 쪽이나
    서버쪽에 먼저 취직을 해야 할듯 싶은데 ,
    추후 리버싱일을 하려면 개발직 쪽으로 가는것이 더 나을까요?
    또한 개발직 쪽으로 가더라도 개발직도 종류가 많은데
    보안솔루션 개발쪽으로 가는것이 더 좋은 선택인지
    많은 것이 고민됩니다.
    자꾸 질문드려서 죄송하구요;;
    그만큼 이곳을 알게되고 리버싱이란 것을 알게되서
    기쁘구요. 조언좀 주셨으면 좋겠습니다 .
    감사합니다 ^^

    • reversecore 2011.01.20 00:04 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      사실 리버싱일을 하시려면 말그대로 리버싱쪽으로 취직을 하시는게 좋습니다.

      제가 처음 리버싱으로 취업할 때만 해도 국내에 리버싱을 하는 사람들이 없어서 거의 대부분 경력 개발자들을 뽑았습니다. 몇 달을 교육시켜서 실무에 투입했지요.

      요즘은 리버싱 인구가 많이 늘어나서... 회사도 신입을 뽑더군요... 신입들의 리버싱 경험도 상당하더군요. 경력을 뽑을때도 동종 업계의 리버싱 경력자를 뽑구요...

      저와 저희 회사의 사례를 소개해 드린거라서요...
      참고만 하시기 바랍니다.

      제 개인적으로는 개발/리버싱 모두 경험을 가지고 있는 것이 좋다고 생각합니다. (실제로 제가 그렇구요.)

      감사합니다.

  8. 아침햇살 2011.02.07 16:24 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요^^ 맨날 눈팅만하고...책나오길를 기다리는 사람입니다;;
    매번 조용히 글만읽고 댓글하나 없이 가다가....궁금한게 있어서 염치 없지만 이렇게 질문하나
    드리고 갑니다.

    32비트에서는 전역 후킹시에 ntdll!ZwResumeThread를 이용하면 앞으로 실행될 프로세스에 대해
    서도 모두 후킹이 가능한걸 알았읍니다.. 근데

    64비트에서는 실행되고 있는 프로세드들이 64비트 응용프로그램인지 32비트 응용프로그램인지를
    구분하여 따로 Injector와 DLL을 맞추서 인젝션을 해야 하더군요..

    예를 들어 저는 64bit OS에서 32비트 응용프로그램에만 인젝션을 시도할 예정인데요
    이게 앞으로 실행될 프로세스에 대해서 어떻게 인젝션을 해야 할지 좀 감이 안와서요;;
    쓰레드를 돌려서 새로 생성되는 프로세스를 감시하다가 32비트인지 64비트인지 구분해서 인젝션을 할까도 생각했지만 이건 왠지 아니다 싶은 생각이 들더군요;;
    64비트에서도 ntdll!ZwResumeThread 처럼 뭔가 핵심적인 함수 하나를 후킹해서 전역적으로 후킹할 수 있는 방법이 없을까 해서요.. 물론 저 함수를 64비트에서 후킹 할 수 있겠지만
    제가 돌리는 응용프로그램이 32비트이다보니 explorer.exe에 인젝션을 할 수 가 없는 상황입니다.
    다른 분들의 의견이나 reversercore님의 의견이 한번 듣고 싶네요..~ +.+
    구글링을 해봤지만 딱히 눈에 딱 보이는거 없어서요..(혹시 제가 놓친거 일 수도 있습니다..ㅋ)
    어떻게 생각하세요??

    • reversecore 2011.02.09 21:39 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      64bit 환경에서 32bit 프로세스만 global hooking(자동 인젝션) 을 하신다는 말씀이시죠~

      제가 직접 시도해 보기 전에는 뭐라 말씀드리기가 어렵군요.

      테스트 후 다시 답변 달아드리겠습니다.

      감사합니다.

    • 아침햇살 2011.02.14 11:34 신고 댓글주소 | 수정 | 삭제

      넵 답변 달아주셔서 감사합니다^^

      지금은 우선 쓰레드에서 프로세스를 감시하여 새로 생성된 프로세스
      를 탐지해 32bit일경우만 Injection하도록 작업하고 있습니다.^^

      좀더 좋은 방법이 나왔으면 좋겠네요~ ㅎ ~
      그럼 수고하세요^^

  9. baboha 2011.02.12 19:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 리버스코어님 글 잘보고있습니다.

    질문이 하나있는데요

    프로세스가 실행중일때 Injection된 dll의 이름들을 얻을려면 어떻게 해야할까요?

    IAT에 써진것말고 프로세스가 LoadLibrary를 통해서 따로 Injection한 것까지 알고싶습니다

    마치 procexp 프로그램처럼요

    • reversecore 2011.02.18 22:44 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      말씀하신 그런 기능을 수행하는 API 가 있습니다. Injection 된 DLL 들을 Ejection 시킬 때 사용됩니다.

      CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID)
      Module32First()
      Module32Next()

      위 API 를 검색해 보시기 바랍니다.

      감사합니다.

  10. harrison 2011.04.16 06:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    리버싱 관련 지식이 필요해서 검색을 하다가 이곳에 왔는데,
    굉장한 도움이 도움이 되었습니다.
    감사합니다.

  11. wordboss 2011.05.17 10:47 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    오늘 오랜만에 강좌에 와보니 새로운 내용 더 생겼네요.
    보 다 흥미로운 내용 더 많이 올려주세요
    자주 방문 하겠어요
    건강에 각별히 류의하시구요

  12. FreeAngel 2011.07.06 03:01 신고 댓글주소 | 수정 | 삭제 | 댓글

    궁금한점이있는데요.ㅠㅠ 글로벌 후킹에ㅓ 실행되는 프로그램, 앞으로 실행될 프로그램을
    제어 할 수 있다고했는데, 흰트조금만주세요.ㅠㅠ 크레이트 프로세스를 써서하는건지;;;;ㅠ

    • reversecore 2011.07.14 05:56 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      제 블로그에 있는 글이 도움이 되실 것 같습니다.

      Advanced Global API Hooking – IE 접속 제어 (1)
      (http://www.reversecore.com/77)

      API Hooking – '스텔스' 프로세스 (1)
      (http://www.reversecore.com/65)

      감사합니다.

  13. 2011.10.27 10:49 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  14. 2011.10.28 12:51 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  15. 2011.10.28 12:51 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  16. 2012.01.09 02:04 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  17. 따오기d 2012.02.01 10:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    수고하십니다.!! 글잘봤어요
    질문이 있는데요
    Injector = 32bit process
    HookDLL = 64bit dll
    Target Process = 64bit Process
    OS 는 Windows 2008 R2 (64bit) 이구요
    이상황에서 Injector 가 wow 로 돌고있는 상황에서 가능한 방법이 있나요?

  18. 따오기 생각 2012.02.13 13:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    따오기님
    수고하세요.
    오 그거 생각에 system disable wow비슷한 API가 있는데요.
    그걸 참고하시지요.

  19. 2012.05.25 16:16 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  20. 2012.05.29 09:28 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다



질문/답변 코너를 만든 이후로 많은 분들께서 질문을 해주시고, 답변도 도와 주셨습니다.

모든 분들께 정말로 감사를 드립니다.

댓글로 질문/답변을 진행하고 있는데요, 너무 댓글이 길어져서 사용하기 불편해졌습니다.
그래서 새로 추가하였습니다.

이후부터는 이쪽에 질문/답변을 올려주세요~
감사합니다.

* 예전 질문/답변 코너 링크입니다. (원하시는 내용이 있는지 검색해 보세요~)

질문/답변 코너입니다.

=======================================================

리버스 엔지니어링 분야에 대해 질문이 있으시면 아래의 댓글로 올려주세요. 역시 댓글로 답변을 올려드리겠습니다. 공개하기 어려운 내용은 '비밀글' 에 체크해주세요.

"비도덕적, 불법적" 인 내용은 답변 드릴 수 없음을 이해해 주시기 바랍니다.


댓글, 방명록, 이메일 등으로 많은 분들께서 여러 가지 질문들을 해주십니다. 
그중에 정말 좋은 질문들이 많아서 여러분들과 공유하면 좋겠다고 생각하였습니다.

이제부터 저에게 들어오는 모든 질문과 답변들을 이곳으로 모을 것입니다.
앞으로 질문과 답변은 이곳에서 해주세요~

질문에 대한 답변은 저 뿐만 아니라 제 블로그에 오시는 모든 분들께서 하실 수 있습니다.
문제 해결을 위한 방법은 다양합니다. 저 말고도 다른 분들의 답변은 언제나 환영입니다.

"질문은 좋은 것 입니다. 많이 해주세요. ^^ "

* 댓글로 질문하기 어려운 내용들(긴내용, 첨부파일 등)은 제 이메일(reversecore@gmail.com)로 문의해 주세요.

* 제가 사용하는 GMail 은 PE 파일을 첨부하면 전송 거부를 합니다. (압축을 시켜도 그걸 열어서 확인하지요.)
   => 실행 파일을 첨부해서 보내실때는 확장자를 exex, dllx, zipx 등으로 변경해서 보내주세요.

* 댓글이 너무 많이 달리면 제가 질문/답변 빈 포스트를 또 올릴 겁니다. 그쪽으로 계속 질문 댓글 달아주시면 됩니다.

감사합니다.


ReverseCore

'q&a' 카테고리의 다른 글

질문/답변 코너입니다. (3)  (394) 2011.04.13
질문/답변 코너입니다. (2)  (233) 2010.01.28
질문/답변 코너입니다.  (295) 2009.09.21
    이전 댓글 더보기
  1. 안녕하세요 2010.12.01 12:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요~
    Dll 을 다른 프로세스에 injection 시킨 후 DllMain이 전부 실행된 후에 바로 ejection 시키려고 하는데요, DllMain이 전부 끝났는지를 어떻게 검사해야할지 모르겠습니다. Dll쪽을 건드려서 DllMain의 끝부분에 IPC로 Dll Injecter에 끝났다는 것을 알리는 코드를 추가하는 방법이 있을 것 같기는 한데 제가 작성한 Dll말고 모든 Dll에서 범용적으로 사용될 수 있도록 Dll은 그대로 놔두고 Injecter 쪽에서 DllMain이 끝났는지를 검사하게 하고 싶은데 방법이 없을까요?

    • reversecore 2010.12.03 15:47 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      hThread = CreateRemoteThread(xxxxx);
      WaitForSingleObject(hThread, INFINITE)

      위와 같이 DLL Injection 을 시키면 DllMain() 함수가 리턴할 때까지 WaitForSingleObject() 함수에서 대기합니다.

      DllMain() 에 메시지 박스를 넣고 간단히 테스트해보시면 됩니다.

      감사합니다.

  2. 2010.12.05 15:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.12.10 15:51 신고 댓글주소 | 수정 | 삭제

      안녕하세요. ReverseCore 입니다. ^^

      보내주신 코드를 보았습니다.

      Inject -> patch -> Inject 흐름이더군요.

      2번째 Inject 시에 왜 DllMain() 이 호출되지 않느냐는 질문이신거죠?
      (제가 잘 이해했는지 모르겠군요? ^^)

      저 myhack.dll 이 제 블로그의 파일이라면... 소스코드는 아래와 같을겁니다.

      DWORD WINAPI ThreadProc(LPVOID lParam)
      {
      char szPath[MAX_PATH] = {0,};
      char *szProcess = NULL;

      if( !GetModuleFileName( NULL, szPath, MAX_PATH ) )
      return 1;

      if( !(szProcess = strrchr(szPath, '\\')) )
      return 1;

      szProcess++;
      if( !stricmp(szProcess, "notepad.exe") )
      URLDownloadToFile(NULL, DEF_NAVER_ADDR, DEF_INDEX_PATH, 0, NULL);

      return 0;
      }

      BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
      {
      HANDLE hThread = NULL;

      switch( fdwReason )
      {
      case DLL_PROCESS_ATTACH :
      hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
      CloseHandle(hThread);
      break;
      }

      return TRUE;
      }

      즉, DLL_PROCESS_ATTACH 인 경우에 스레드가 실행되는 것이죠.

      같은 DLL 파일을 같은 프로세스에 연속 Injection 시켜도 DLL_PROCESS_ATTACH 는 한번만 뜨게되고...
      이후부터는 DLL_THREAD_ATTACH 가 뜹니다. 그래서 2 번째 Injection 에는 ThreadProc() 이 실행되지 않은 것이지요.

      Injection 마다 ThreadProc() 을 실행시키려면 myhack.dll 소스코드의 DllMain() 함수를 수정하시면 됩니다.

      * 코드를 보면 DLL 의 RVA 254A 위치에 "EB" 로 한바이트 패치를 하셨는데요..
      제가 그 의도를 잘 이해 못 하겠네요. 이걸 왜 하신 건가요?
      어쩌면 가지고 계신 myhack.dll 파일과 제가 테스트한 myhack.dll 파일이 서로 틀릴 수 도 있겠네요.
      제가 가진 파일에서는 그 주소는 패치할만한 코드가 없거든요. ^^

      감사합니다.

  3. 2010.12.10 16:43 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010.12.16 15:39 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      매번 Inject 시 DLL_PROCESS_ATTACH 로 뜨게 하려면...

      Inject -> Eject -> Inject 순으로 해주셔야 합니다.

      정상적으로 Eject 되었다면 메모리에 패치한 내용도 사라지겠죠?

      감사합니다.

  4. 2011.01.08 03:53 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.01.11 10:48 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      매우 재밌는 아이디어입니다~ ^^

      화면 처리용 Win32 API 를 후킹해도 될 것 같고,
      관련 메시지를 후킹해도 될 것 같군요.

      가능하고 안하고의 문제라기 보다는...
      어떤 방법이 좀 더 쉽고 간단할까 하는 문제일것 같습니다.

      감사합니다.

  5. jdi 2011.02.04 18:30 신고 댓글주소 | 수정 | 삭제 | 댓글

    C언어로 간단한 프로그램을 작성하고 main함수를 디버깅해서 어셈코드를 보면
    제가 이론상으로 알고있는 함수 프로로그(ebp백업..) 외에도 아래와 같은 긴 작업을 하는것을
    확인 할 수 있습니다.

    0040D3F0 55 push ebp
    0040D3F1 8B EC mov ebp,esp
    0040D3F3 83 EC 4C sub esp,4Ch
    0040D3F6 53 push ebx
    0040D3F7 56 push esi
    0040D3F8 57 push edi
    0040D3F9 8D 7D B4 lea edi,[ebp-4Ch]
    0040D3FC B9 13 00 00 00 mov ecx,13h
    0040D401 B8 CC CC CC CC mov eax,0CCCCCCCCh
    0040D406 F3 AB rep stos dword ptr [edi]

    ebx, esi, edi를 push하는건 callee saved 레지스터의 백업 절차인거 같긴 한데,
    4ch만큼의 스택영역을 CC로 초기화 하는건 설명이 잘 안되네요..ㅠㅠ
    그냥 컴파일러가 일정한 영역을 지정해서 초기화 한다고 생각하면 되나요??
    저 4ch라는 수치도 vs2005로 컴파일 하면 e4h가 되네요;;

    그리고 어떤 책을 보다 보니 함수의 메인을 캡쳐한 코드에 제가 확인한 CC로 초기화 하는 코드가 존재하지 않더라구요.. 이건 또 어떻게 된 일인지 궁금하기도하고 ;;

    질문이 너무 정리가 안되네요~~ 설연휴 잘보내시구요 답변 부탁드릴게요 ㅎ;;

    • reversecore 2011.02.09 21:46 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      아마 VC++ 에서 DEBUG 모드로 빌드하셨나 봅니다.

      VC++ 특징이 DEBUG 모드 빌드인 경우 스택의 일정 부분 크기를 "CC" 즉 INT3 명령어로 채워버립니다. 이유는 혹시나 프로그램의 버그(버퍼 오버플로우) 발생시에 바로 예외가 발생하여 프로그램이 멈추도록 하려는 것입니다. 만약 저게 없다면... 스트링 처리를 잘 못하여 버퍼 오버플로우가 살짝 일어난 경우 그대로 계속 실행될 수도 있거든요. 그럼 버그를 못잡는 거지요.

      RELEASE 빌드에서는 그러한 과정이 생략되어 있습니다.

      감사합니다.

  6. 봉이 2011.02.10 13:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    코어님 안녕하세요!
    pe 공부하다 어떤건 그냥 그림으로 이해하는게 좋은거 같아서 그러는데요..
    코어님이 포스팅할때 어떤 이미지 편집툴 쓰시는건가요?
    여담입니다만 16진수 계산기 추천해주신거 아주 잘쓰고 있어서 그래픽툴도 추천받아보려구요..
    그럼 좋은 하루 되세요!

    • reversecore 2011.02.18 22:49 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      제가 사용하는 이미지 캡쳐 프로그램은 OpenCapture 입니다. 이걸로 간단한 편집도 하지요. 간혹 윈도우 그림판을 사용할 때도 있습니다.

      감사합니다.

  7. 2011.02.19 02:03 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:52 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      윈도우의 움직임을 모니터링 하고 계시는군요~

      가장 좋은 방법은 메시지 후킹이지요.

      SPY++ 을 생각해 보시면 됩니다.

      GUI 관련 모든 행위는 메시지 기반입니다. 따라서 이러한 메시지만 모니터링 하면 윈도우가 어떻게 움직이고 있는지 다 볼 수 있습니다. 몇몇 API 를 직접 후킹 하는 것 보다 훨씬 좋은 방법이라 생각됩니다.

      감사합니다.

  8. 2011.02.23 14:03 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.02.28 15:56 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      찾으시는게 혹시 이거 아니신가요?

      인젝션된 test.dll 에서 GetModuleHandle(NULL) 을 호출하시면 그 리턴값이 바로 프로세스(notepad.exe)가 로딩된 이미지 베이스 주소입니다.

      감사합니다. ^^

  9. 황순용 2011.03.10 17:19 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요..
    글은 자주 보고 있는데..
    댓글 다는게 익숙치가 않은 터라.. 이제야 처음 인사를 드립니다.
    (아 이쪽이 신규 질문방인거 같아서 ㅎㅎㅎ 다시 한번 올립니다.)

    API 후킹 쪽에 아무리 풀려고 해도 풀리지 않는 숙제가 있어 이렇게 질문을 드립닏.
    socket 후킹 부분입니다.
    mswsock.dll에 있는 NSPStartup을 후킹하여.
    내부에 LPNSP_ROUTINE이 가지고 있는 NSPLookupServiceBegin, NSPLookupServiceNext, NSPLookupServiceEnd의 주소값을 변경하고자 합니다.

    redirect.cpp 코드를 사용하여 NSPStartup을 후킹하려고 했스니다만
    iexplore.exe에 적용을 해보아도 NSPStartup으로 들어오지 않는 것입니다.

    이곳을 소스가 아닌 다른 예제로 해도 그부분은 해결하기가 너무 힘들더라구요..

    어느 시점이 NSPStarup 으로 들어오는지 알 수가 없습니다. 아무래도 dll Injection전에 한번만 로드가 되는거 같은데 이런경우 NSPStartup을 어떻게 찾아서 후킹 할 수가 있을까요?

    아니면 직접 LPNSP_ROUTINE의 NSPLookupServiceBegin 값들을 후킹하는 방법은 없을까요?

    바쁘시겠지만 조그만 조언이라도 부탁드립겠습니다.

    • 황순용 2011.03.11 09:41 신고 댓글주소 | 수정 | 삭제

      하녕하세요.
      아주 조금은 해결이 된 듯 합니다.
      프로세스가 만들어질 당시 한번만 호출이 되는듯 합니다.
      그래서 explorer.exe 나 서비스에서 시작되는 경우 해당 서비스에다가 Injection을 하니 가능하더라구요..

      그런데 또 하나 궁금한게 생겼습니다.
      방법이 이것 뿐이냐 하는 겁니다. 프로세스가 로드될때 젤 먼저 제가 만든 dll를 로드하게 한다던지 하는 방법은 없는 것인가요?

      너무 궁금한게 많아서 죄송합니다. ㅎㅎㅎ

    • reversecore 2011.03.16 23:07 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      질문하신 내용을 잘 읽어 보았습니다.
      일부 해결을 하셨다니 다행이네요~ ^^

      먼저 DLL Injection 의 조건은 kernel32.dll 이 로딩되어야 합니다. (사용자 DLL 은 시스템의 kernel32.dll 보다 먼저 로딩될 수 없습니다.)

      프로세스가 생성되는 순간에 DLL Injection 을 하기 위해서는 Global API Hooking 을 사용하시면 되는데요...

      제 블로그의 "DLL Injection" 파트를 죽 읽어보시면 몇 가지 방법이 있습니다.

      http://www.reversecore.com/38
      (레지스트리 등록 방법, SetWindowsHooks() 이용 방법, ZeResumeThread() 이용 방법)

      궁금한게 많으시다는 것은 좋은겁니다. 그만큼 열정이 있으시다는 뜻이지요. 또 질문 올려주세요~

      감사합니다.

  10. 2011.03.10 21:08 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.03.16 22:32 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      EXECrypter 라면 매우 고급 프로텍터입니다. 언팩이 매우 어렵습니다. 정확한 언패커가 있는지는 모르겠습니다만... 분명 언팩하시는 분들은 계시더군요. 제가 잘 모르는 전용 프로그램을 이용하는 것 같았습니다.

      감사합니다.

  11. 2011.03.12 01:17 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.03.16 22:35 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      ^^ 21세기는 엉뚱, 기발, 창의적인 사람이 대우받는 시대랍니다. J 님께서는 시대를 잘 타고 나신겁니다. 저도 그런게 좋아요~

      말씀하신대로 얼마든지 가능합니다.

      일단 대상 프로세스에 inject.dll 을 침투시켰다면... inject.dll 에서 간단히 LoadLibrary("test.dll") 만 호출해줘도 test.dll 을 메모리에 로딩시킬 수 있습니다.

      물론 또다른 프로세스에게 RemoteThread() 를 이용하여 test.dll 을 인젝션 시킬 수 도 있지요.

      감사합니다.

  12. 2011.03.21 13:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011.04.13 00:59 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      사실 LoadLibrary() 리턴값이 로딩 주소입니다. ^^
      (GetModuleHandle() 도 마찬가지 입니다.)

      CreateToolhelp32Snapshot() 는 원격 프로세스에 로딩된 DLL 들의 로딩 주소를 얻을 때 사용합니다.

      모두 같은 프로세스내에 있잖아요?

      같은 논리로 WriteProcessMemory() 를 쓰셔도 되지만 그 보다는 memset() 을 쓰셔도 좋습니다. ^^

      아마 지금쯤 잘 해결 하셨을걸로 생각됩니다.

      요청하신대로 질/답 게시판을 하나더 추가해야 겠습니다.

      감사합니다.

  13. 유상윤 2011.11.13 15:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요? 유상윤입니다. 포스팅된 글들을 읽고 도움이 많이 되었습니다.
    특히 DLL Injection과 관련된 글은 쉽게 이해할 수 있도록 써 주셔서 큰 도움이 됐어요.
    궁금한 점이 있습니다. PE 구조에서의 각 섹션을 파일 별로 가지고 있습니다.
    그 파일들을 조합하여 실행 파일로 만들려면 어떤 작업이 필요한가요?
    헥스 에디터로 열어봤지만 막막하네요.
    아무래도 선행 지식이 부족하다 보니 문제가 막막해진거 같은데요
    필요한 지식이 있다면 소개해주셔요! 미리 답변에 대해서 감사하다는 말 전합니다.
    수고하세요!

  14. 추광 2013.02.15 02:13 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요~ stealthprocess을 제 프로그램에 적용중인데요.. 다른 경우는 대부분 숨겨지는 듯 한데, ctrl + alt + delete를 통해서 나오는 작업 관리자의 프로세스창에는 프로그램명이 뜨더군요.. 이것의 해결 방법은 없을까요??

  15. longchamp bags uk 2013.04.25 07:39 신고 댓글주소 | 수정 | 삭제 | 댓글

    내가 성공을 했다면 오직 천사와 같은 어머니의 덕이다.Topics related articles:


    http://highflyer.tistory.com/category/travel 新建文章 4

    http://violettalove.tistory.com/53 新建文章 1

    http://juyayang.tistory.com/53 新建文章 7

    http://minamichiaki.tistory.com/130 新建文章 6

  16. prosn 2013.12.09 18:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    인젝션을 시키지 않고 다른 프로세서의 이미지 베이스 주소를 가져오는 방법이 있나요?

  17. 초보 2014.08.07 21:16 신고 댓글주소 | 수정 | 삭제 | 댓글

    이런 질문 드리기에는 너무 죄송하지만 도저히 몰라서 질문합니다 ㅠㅠ
    금방 리버싱 핵심원리 책을 사서 실습하려고 하는 학생입니다.
    그런데 release모드로 빌드해서 exe파일을 만들어서 ollydbg로 돌렸는데 책에 나오는 예제랑
    다르게 나옵니다... 이건 컴파일러 종류가 달라서 그런건가요? 만약에 컴파일러 종류가 다르면
    어떤 컴파일러로 빌드했는지 알수 있을까요? 제가 사용하는 컴파일러는 visual c++ 2010 express입니다

    • Backer 2014.08.08 02:52 신고 댓글주소 | 수정 | 삭제

      컴파일러 종류가 아니라 아마 빌드 옵션에 따라 다른걸로 알고있습니다.
      제 생각엔 http://reversecore.com/104 에서 해당 소스코드와 예제파일을 다운받아 공부하시는걸 추천드립니다.

  18. 쿠크다스ss 2015.04.15 02:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    34장 IE접속제어(553page) 부분을 공부하고있는데요 ollyDbg110 을 이용하여 익스플로어를 attach 하였는데 internetConnectW함수에 BP를 걸걸었는데도 불구하고 멈추질 않네요 그런데 또 올려주신 dll 인젝션 하면 또 후킹이 되고... 뭐가 문제인지 도통 모르겠습니다.

  19. sammysl 2015.05.05 17:49 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. 바이낸 2018.02.10 20:46 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다




리버스 엔지니어링 분야에 대해 질문이 있으시면 아래의 댓글로 올려주세요. 역시 댓글로 답변을 올려드리겠습니다. 공개하기 어려운 내용은 '비밀글' 에 체크해주세요.

"비도덕적, 불법적" 인 내용은 답변 드릴 수 없음을 이해해 주시기 바랍니다.


댓글, 방명록, 이메일 등으로 많은 분들께서 여러 가지 질문들을 해주십니다.
그중에 정말 좋은 질문들이 많아서 여러분들과 공유하면 좋겠다고 생각하였습니다.

이제부터 저에게 들어오는 모든 질문과 답변들을 이곳으로 모을 것입니다.
앞으로 질문과 답변은 이곳에서 해주세요~

질문에 대한 답변은 저 뿐만 아니라 제 블로그에 오시는 모든 분들께서 하실 수 있습니다.
문제 해결을 위한 방법은 다양합니다. 저 말고도 다른 분들의 답변은 언제나 환영입니다.

"질문은 좋은 것 입니다. 많이 해주세요. ^^ "

* 댓글로 질문하기 어려운 내용들(긴내용, 첨부파일 등)은 제 이메일(reversecore@gmail.com)로 문의해 주세요.

* 댓글이 너무 많이 달리면 제가 질문/답변 빈 포스트를 또 올릴 겁니다. 그쪽으로 계속 질문 댓글 달아주시면 됩니다.

감사합니다.


ReverseCore



'q&a' 카테고리의 다른 글

질문/답변 코너입니다. (3)  (394) 2011.04.13
질문/답변 코너입니다. (2)  (233) 2010.01.28
질문/답변 코너입니다.  (295) 2009.09.21
    이전 댓글 더보기
  1. RCE 2013.12.31 09:57 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요
    리버싱 공부 중인 학생입니다.
    인라인 패치를 하고 있는데 책에 나와 있는데로가 아닌
    rdata 영역 또는 data 영역을 이용해서 패치하려는데 패치가 잘 안 되서 질문드립니다.
    401083의 JMP 영역은 XOR 7로 잘 바꾸어 주었는데
    아마도 패치 영역이 문제인 것 같습니다. 바꾸고 저장해도 다시 디버깅을 해보면
    패치했던 부분이 그대로 0000 으로 되어 있더군요
    제가 패치한 부분은
    rdata 영역일 때 메모리상 pointer to offset은 402000을 시작으로 402B38까지 rdata 내용, 그 뒤로
    402B38~403000을 Null 영역으로 계산하였고 그 중 패치는 402B38~402200사이에 했습니다.
    (Pointer To Rawdata : 800 / VirutalSize : 138 / SizeOfRawdata : 200)
    그런데 제대로 패치가 되지 않아 저의 계산이 틀린 것 같은데 어떻게 계산을 해서 Null영역에
    패치를 해야 하는지 궁금합니다.
    <data 영역일 경우 403000을 시작으로 40302C 까지 data 내용, 그 뒤로 40302C부터 404000까지
    Null 영역으로 잡고 패치했었습니다.>

  2. James 2014.01.05 22:36 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음 공부시작하는학생입니다...
    올리디버거 글자크기가 너무 작아서요... 눈이 아픈데요
    Option의 Appearence의 Fonts를 들어가서 Font parameters의 change를 눌러 폰트사이즈를 변경해도 바뀌지가 않습니다..
    글자를 좀 크게볼수있는 방법이 있나요?

  3. choi 2014.01.19 11:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음 리버싱을 공부하는 학생인데 공부하던 도중 IA-32 매뉴얼은 어디에서 얻을 수 있나요?

  4. galois 2014.02.02 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    음 올리디버그로 헬로월드 디버깅 하는 예제를 책을보고 따라해볼려고 올리디버그를 다운받고 예제 HelloWorld.exe도 다운받아서 올디에서 파일을 여는데 이런 에러가 뜨네요.

    Unable locate to file " 파일 경로"

    이거는 어떻게 해결하나요??

    그리고 올리디버그를 관리자 계정에서 사용하는데 그냥 실행하면
    you do not have administrative rights on this computer ~~ 라는 메시지 박스가 뜨길래
    관리자 권한으로 실행을 해본 결과 메시지박스가 안뜨는 걸 알게 됬는데
    이렇게 사용하는게 맞는지요??

    질문 읽어주셔서 감사합니다.

  5. 2014.04.24 13:22 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  6. shiri 2014.06.25 12:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요

    Hello World! 리버싱을 해보려고 Ollydbg 110으로 실행을 했는데 CALL 0040270C는 안보이고

    774A01B8 895C24 08 MOV DWORD PTR SS:[ESP+8],EBX 이런게 먼저 나오네요...

    200버전으로 다시 실행해도 책에 있는 것처럼 나오지 않아서 책 따라하기가 힘들어요

    제 운영체제가 64비트인데 혹시 이것 때문인가요?

  7. ㅇㄹㄴㅇㅁㄹ 2014.07.12 22:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    datadirectory export값이요.
    NT Header - optional header의 멤버를 설명하는 부분에선
    datadirectory[0]의 값, 그러니까 Export의 Size값과 RVA값이 모두 00 00 00 00, 00 00 00 00
    이라고 나오는데

    EAT를 설명하는 부분에선 Size=00 00 6d 19, RVA=00 00 26 2c라고 값이 바뀌어 있습니다.
    이유가 뭔가요.

  8. ㅇㄹㄴㅇㅁㄹ 2014.07.13 19:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    아 위의 질문 취소입니다. 파일이 다른거였네여 ㅈㅅㅈㅅ

  9. 전국수석 2014.07.16 02:31 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요
    올해 5년차 Windows 개발자 입니다
    주로 C/C++ 사용해서 개발은 하고 있습니다 ~ 응용프로그램개발, 시스템 프로그래밍을 했습니다
    지금 분야를 보안개발이나 정보보안전문가로 가고 싶은데요
    현재 리버싱책을 사서 공부중인데요 IDA Pro 정품을 구매해서 제대로 공부해보고 싶습니다
    정품구매 요령하고 어디서 구매하는지 패키지가 얼마정도 하는지 좀 알려주세요
    감사합니다 ~

  10. 한숨만나온다 2014.07.22 07:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    저자분 블로그 관리 너무 안하시는것 같아요.
    리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
    당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
    저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
    지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
    덕분에 독자들만 개고생하는 결과가 나는거죠.
    윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
    커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
    다시 한번 윤성우님을 찬양하게 되는 부분입니다.

  11. 한숨만나온다 2014.07.22 07:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    저자분 블로그 관리 너무 안하시는것 같아요.
    리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
    당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
    저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
    지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
    덕분에 독자들만 개고생하는 결과가 나는거죠.
    윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
    커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
    다시 한번 윤성우님을 찬양하게 되는 부분입니다.

  12. 2014.08.12 12:56 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  13. 애독자 2014.09.29 19:00 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. 애독자이며, 정말 많은 도움을 받고있습니다. 감사합니다.
    다름 아니오라 한가지 궁금하게 있어서 질문하게 되었습니다.

    a.dll 에서 aaa라는 함수를 실행하면 그 함수안에서 c:\ccc 라를 폴더에서 ccc.ini 불러오고있습니다. 그런데 a.dll 은 제가 LoadLibrary로 실행중에 로드 하는 상황입니다.
    a.dll 의 aaa라는 함수에서 c:\ccc 라는 폴더 말고 c:\ccc\sub 라는 폴더로 수정하고싶은데,
    책에서 보면 별도의 exe를 만들어서 만들어서 pid를 얻고 그 다음 실행중에인젝션하는 것 같습니다.

    a.dll 자체를 수정해서 인젝션 따로 필요없이 하는 처리하는 방법은 없을까요?


  14. 좋아요 2014.10.28 22:31 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하십니까, 저자님의 ollydbg.ini 파일을 적용시킨 후, 실행하고 F7나 F8을 누르면
    다른 경고창으로 HelloWorld가 작동하지 않습니다 또는 중지되었습니다 따위의 오류가 발생합니다. 어떻게 해야됩니까??

  15. 이리x 2014.11.18 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱의 핵심원리를 공부하다가 궁금증이 생겨서 문의 드립니다.
    어떻게 보면 아주 간단한거고, 어떻게 보면 아주 간단하지 않은 질문이지만요^^
    제가 궁금한것은 hooking의 기초, SetWindowsHookEx 함수입니다.
    (리버싱의 핵심원리 21장, 294~297페이지 소스를 같이 봐주시면 이해가 더 빠르실지도.. ㅎㅎ)
    소스 내용은 대충 이러합니다.
    콜백함수를 통해 메시지 발생 시(키보드 누르는 메시지 발생 시) notepad일 경우 메시지를 후킹하여 전달하지 않아 키보드 입력이 안되게 하는 알고리즘으로 되어 있습니다.

    자 여기서 질문입니다.
    1. 부모프로세스가 explorer인 notepad는 정상적으로 후킹이 됩니다. 후킹이 되어 키보드 입력이 되지 않는데요.. 하지만 부모프로세스가 ollydbg인 notepad에는 후킹이 되질 않습니다.(키보드 입력이 정상적으로 됩니다.) 또한 다른 컴퓨터에서 진행해도 똑같이 정상적으로 입력이 됩니다. 이유가 무엇일까요?
    2. process explorer를 보면 ollydbg의 자식 프로세스 notepad에는 dll을 클릭해도 아무것도 출력되지 않습니다. 그 이유는 무엇일까요?
    3. 정확하게 dll이 붙는 곳은 어디일까요?(이 질문을 하는 이유가 뭐냐면 hookmain 프로그램과 메모장, 그리고 스티커 메모장 실행 시 키보드 메시지를 발생시키자 keyhook.dll이 붙는 것을 확인할 수 있었습니다. -> 이 말은 콜백함수가 우선적으로 호출된 후 injection 된다는 얘기입니다. dll injection 코드가 정확하게 어딘지 모르겠네요.. 올리디버거로 분석하려고 해도 붙질 않으니.. ㅠㅠ) 콜백 함수가 실행되고 dllmain이 실행되는 걸까요..? 흠..
    그래서 제가 고민끝에 내린 추측은
    콜백함수나, dll injection 과정을 거칠때 ppid가 같아야한다?
    아니면 애초에 keyhook.dll이 로드되지 않았다??(process explorer를 볼 시 아무것도 출력이 되지 않아서..)
    dll이 정상적으로 injection 되지 않았기 때문에..?? 그 이유는..??
    이정도 입니다..
    혹여 이 부분을 실습하다가 안되신 분들 계시면 답변 부탁드리고, 아시는 내용이 있으면 댓글 부탁드립니다.

  16. 쉬리 2015.02.08 23:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. 지금 코드 인젝션을 공부하고 있습니다. InjectCode() 함수에서
    dwSize = (DWORD)InjectionCode - (DWORD)ThreadProc; 이 부분에서 질문이 있습니다.
    위의 코드가 MS Visual C++에서 사용되는 코드라면 다른 컴파일러를 사용했을땐 어떤식으로
    함수의 크기를 구하는지 알고싶습니다. 답변해주시면 감사하겠습니다.

  17. 2015.07.13 16:24 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  18. 2015.07.13 16:24 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  19. 디디딛 2015.07.21 17:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. 김준영 2015.09.25 22:46 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다





티스토리 툴바