리버스코어 ReverseCore

저자님 .exe 파일은 memory rellocation 이 발생할일이 거의 없기때문에 reloc 섹션을 지워도 문제가 없다고 하셨었고 또 요즘은 보안상의 이유로 파일자체에 적혀있는 Imagebase 뿐만아니라 그때 그때 실행할때마다 랜덤한 Imagebase 값을 갖게 된다고하셨는데(A R 어쩌구 네글자 였엿던것같은데 약자는 까먹었습니다..) 뭔가 이 두가지가 공존할수 없는 말인듯한 느낌이 들어서요 ㅠㅠ 분명 제가 뭔가를 잘못이해한것같은데 명쾌한설명 꼭 부탁드립니다 ㅠㅠ!

PE FILE에서 IAT 부분에 대해서 질문좀 할게요.
IAT에서 나오는 IMAGE_IMPORT_DESCRIPTOR 구조체에서 OriginalFirstThunk 멤버 변수와
FirstThunk 멤버 변수는 각 각 INT, IAT를 가리키고, 그 INT와 IAT는 IMAGE_THUNK_DATA 구조체 배열로 구성되어 있잔아요.

제가 궁금한 부분은 이 IMAGE_THUNK_DATA 구조체는 유니온으로 멤버변수들이 선언되어 있어서
상황에 따라 사용하는 멤버변수가 다르다고 알고있는데요. AddressOfData 변수가 사용될 때
AddressOfData가 IMAGE__IMPORT_BY_NAME 구조체를 가리키는 포인터로 사용된다고 하던데,
AddressOfData 변수를 사용하지 않을 시엔 IMAGE_IMPORT_BY_NAME 구조체를 사용하지 않는건가요??? IAT 자료들을 여러개 찾아봤는데 모식도나 구조도 같은거 보니까, 일반적으로 모두 IMAGE_THUNK_DATA 구조체에서 IMAGE_IMPORT_BY_NAME 구조체를 가리키게 되있더라구요. 당연하다는 듯이... 이부분이 지금 무척 궁금합니다. 다른 변수를 사용할때는 어떻게 되는것인가에 대해서.

안녕하세요 ㅎㅎ

공부하던 중에 여쭤볼게 생겨서요~

제가 이해를 못한건지 아니면 그림이 잘못 캡쳐가 된것인지
그림 18.24의 내용이 잘린거 같은데 맞나용??

그리고 146페이지에 IMAGE_DOS_HEADER 구조채의 크기는 40 이라고 나와있는데 64아닌가용??

그럼 즐거운 하루 보내세요 ^0^***

안녕하세요

Hello World! 리버싱을 해보려고 Ollydbg 110으로 실행을 했는데 CALL 0040270C는 안보이고

774A01B8 895C24 08 MOV DWORD PTR SS:[ESP+8],EBX 이런게 먼저 나오네요...

200버전으로 다시 실행해도 책에 있는 것처럼 나오지 않아서 책 따라하기가 힘들어요

제 운영체제가 64비트인데 혹시 이것 때문인가요?

p.165 Q3문제에서
rva를 raw로 변환했는데, 그 값이 초과되어 rva의 섹션과 raw의 섹션이 다르게 나왔고
그 이유가 VirtualSize값이 SizeOfRawData보다 크기 때문이다.
라고 나와있는데요.
이거 잘못된 것 아닌가요
위의 섹션이 다르게 나오는 경우는
VirtualSize > SizeOfRawData 가 클 때가 아니라
RVA - VA > SizeOfRawData일 때 아닌가요?

반례를 들면, data섹션의 파일 옵셋이 0~1000, VA가 0~1100이고
RVA는 100이라고 가정했을 때
위의 설명대로라면 VirtualSize(1100) > SizeOfRawData(1000) 이므로 RVA->RAW 변환했을 때 섹션이 다르게 나와야 하지만
RVA-VA=100 RAW=100, RVA와 RAW의 섹션은 data로 동일합니다.

p.165 Q3문제에서
rva를 raw로 변환했는데, 그 값이 초과되어 rva의 섹션과 raw의 섹션이 다르게 나왔고
그 이유가 VirtualSize값이 SizeOfRawData보다 크기 때문이다.
라고 나와있는데요.
이거 잘못된 것 아닌가요
위의 섹션이 다르게 나오는 경우는
VirtualSize > SizeOfRawData 가 클 때가 아니라
RVA - VA > SizeOfRawData일 때 아닌가요?

반례를 들면, data섹션의 파일 옵셋이 0~1000, VA가 0~1100이고
RVA는 100이라고 가정했을 때
위의 설명대로라면 VirtualSize(1100) > SizeOfRawData(1000) 이므로 RVA->RAW 변환했을 때 섹션이 다르게 나와야 하지만
RVA-VA=100 RAW=100, RVA와 RAW의 섹션은 data로 동일합니다.

리틀엔디언 질문이요.
책에보면 메모리 값을 읽을 때
어떤건 리틀엔디언 적용해서 거꾸로 읽고
어떤건 적용안하고 메모리 값 그대로 읽고
하던데 왜이러는건가요?

가령
파일을 hxd로 열었을 때
0x00 10 00
0x02 20 00
이고
0x00은 구조체 멤버1의 값
0x02는 구조체멈버2의 값
라고 했을때
책에서
이 구조체멤버의 값을 읽어줄때
구조체멈버1: 1000
구조체멤버2: 0020
이런식으로 하나는 리틀엔디언 적용안하고
하나는 적용하고
이러는데 왜 이러는건가요??

작가님 책 잘 보고있습니다.
다름이 아니라, 제가 공부를 하는데 지금 사용하는 운영체제가 우분투입니다..
혹 책보면서 공부하기 좋은 툴이 있는지요? 찾아봐도 우분투쪽은 잘 안나오네요 ㅠㅠ

페이지 225 PE파일 재배치원리 설명 부분을 보면 "TypeOffset 값이 0이 되면 하나의 IMAGE_BASE_RELOCATION구조체가 끝납니다"라는 문장이 있는데
이 문장의 뜻이 IMAGE_BASE_RELOCATION구조체의 마지막 TypeOffset 멤버의 값이 0이라는 얘기인가요?

2.2.4 세션 20470C 함수따라가기 에서 막히네여

제 Pc는 Win7 32bit 입니다.

제Pc에서보면 시작번지가 00426479 로 시작해서 쭈욱 시퀀스 생기네여

아무리 봐도 40270C 가없네여

책204쪽 notepad_upx.exe 의 ep code 부분에
예/아니오 중에 아무거나 선택해서 넘어가면 그림 15.3과 같이 upx ep 코드가 나타납니다.
라고 되있는데 바로 notepad.exe 의 ep코드와 같은 부분으로 넘어갑니다. 물론 0101532f의 upx ep코드가 있긴 합니다만. ollydbg 신버젼2.0인가 를 사용해서 그런가요? 그렇다면 upx ep에서 시작하려면 어떻게 해야하나요?

p76 ~ 77에 있는 StackFrame에 대해 질문이 있습니다.
StackFrame.cpp를 비주얼스튜디오를 이용해서 exe 파일을 생성했습니다.
(최적화 옵션을 off 했습니다.)

올리디버거로 StackFrame.exe 파일을 열고, 401000 주소로 이동하려고 했습니다.
그런데 401000 주소는 보이지 않아요.
제 컴퓨터에서는 00401000 주소가 아니라 002C1000으로 나타납니다.

어셈블리 내용들은 교재와 똑같이 나오는데,
주소가 다르게 출력되는 상황이에요.
00401000으로 출력되게 하려면 어찌해야 하는지 궁금합니다!!

DLL 인젝션, 처음 부분인 메시지 후킹 실습 관련 질문좀 드릴게요.
HookMain.cpp / KeyHook.dll 이용해서 , 메모장 열어서 키보드 입력시
입력은 안먹히긴하는데, HookMain.exe 가 뻗어버리고, 내용상으로는 노트패드명
확인해서 노트패드인 경우에만 입력을 후킹하는걸로 되어있는데,
다른 프로그램에서 키보드 입력을 해도 먹히지 않으면서 뻗어버리네요.
그리고, 프로세스 익스플로러에서 dll 인젝션됬는지 확인하려고 계속 체킹하는데.
노트패드에 KeyHook.dll이 인젝션되지 않은건지 됬는데 뻗어서 안뜨는건지...
확인이 안되네요. 뭐가 문제일까요?

안녕하세요. 현재 코드 인젝션(27장)을 공부하고 있습니다. InjectionCode() 함수에서
dwSize = (DWORD)InjectionCode - (DWORD)ThreadProc; 처럼 함수의 크기를 구하는 것이
MS Visual C++에서 사용된다면 다른 컴파일러에서는 어떠한 방법으로 함수의 크기를 구하는지
알고싶습니다. 답변주시면 감사하겠습니다.

감사합니다. 좋은 책 감사합니다.
책을 보고 따라가는중 INT에서 값을 따라가니 IMAGE_IMPORT_BY_NAME 구조체로 가게 되는데요 다른 블로그들도 같이 보면서 공부하고 있는데
예전블로그에는 INT,IAT가 IMAGE_THUNK_DATA라는 구조체의 배열이라고 되있던데 따라가보니 저자님이 쓰신 책내용 대로 였습니다.
혹시 IMAGE_THUNK_DATA는 지금 사용 되지 않는 것인가요? 아니면 제가 간과하고 넘어간 부분이 존재한건가요 궁금합니다.
좋은 하루 보내세요!

안녕하세요 제 ollydbg에서 라벨과 코멘트가 저장이 안되는 것 같습니다.
사용중인 운영체제는 윈도우8 64bit입니다.

odbg는 110을 사용하고 있고 UDD폴더 디렉토리 경로와 plugin 경로 설정을 다 해주었습니다.
라벨과 코멘트 입력은 정상적으로 됩니다.
* 책에 기제된 라벨이 보이지 않을때의 방법을 시도 해 봤을 때도 라벨이 보이지 않습니다.

실컷 코멘트와 라벨을 달아놓고 Ctrl+F2로 재실행을 하였을때 기존의 코멘트와 라벨이 모두
로드가 되지 않습니다. 답변 부탁드립니다.

리버싱을 배우기위한 필요한 기초지식에는 뭐가있나요??

안녕하세요 .
책하고 워게임하고 병행해가며 공부중입니다 .
너무나 기초적인 부분인데 책에도 별 언급이 없고,
찾아봐도 잘 모르겠어서 이렇게 질문글을 남기네요 .
올리에서 옵션에 어페어런스 메뉴에서 컬러탭에 하이라이트 텍스트를 빨간색으로 설정을 해둔 상태입니다.
근데 이게 레지스터가 바뀔때는 적용이 잘 되는데, 스택창이나 헥스덤프창은 하이라이팅이 되지 않네요. 어디선가 이 바뀐값들이 하이라이팅 되는걸 본적이 있는데 설정 방법을 알고싶어요.

답변 부탁드립니다. 감사합니다

리버싱을 공부해보고싶은데
C>C++>자료구조>API>리버싱 순으로 차근차근
공부해볼생각인데 이렇게 시작해도될까요?

PE 파일을 수정 하려고 합니다.
올리를 이용해서 파일을 로드 하고 원하는 부분의 메모리주소(RVA)를 찾았고
파일의 RAW를 찾아서 바이너리를 수정하려고 합니다. 하지만 여기서 문제가 생겼네요,
RAW를 찾을수가 없습니다. 자세히 말하면 RVA = 004062F0 이고, 제가 원하는 문자열이 이곳에 기록 됩니다. 004062F0에 기록될 내용은 00980000 에서 읽어오기 때문에,
결국 이 부분을 수정해야 한다고 결론 내렸습니다. 윈핵스를 열고 파일을 열어보니
00980000 이라는 주소는 찾을수가 없더군요, 제 작업과정이 틀린건가요, ㅠㅠ
Stud_pe로 해당 섹션을 bin으로 덤프 해서 작업해야 하나요? 도움 부탁드리겠습니다.

C언어로 간단한 프로그램을 작성하고 main함수를 디버깅해서 어셈코드를 보면
제가 이론상으로 알고있는 함수 프로로그(ebp백업..) 외에도 아래와 같은 긴 작업을 하는것을
확인 할 수 있습니다.

0040D3F0 55 push ebp
0040D3F1 8B EC mov ebp,esp
0040D3F3 83 EC 4C sub esp,4Ch
0040D3F6 53 push ebx
0040D3F7 56 push esi
0040D3F8 57 push edi
0040D3F9 8D 7D B4 lea edi,[ebp-4Ch]
0040D3FC B9 13 00 00 00 mov ecx,13h
0040D401 B8 CC CC CC CC mov eax,0CCCCCCCCh
0040D406 F3 AB rep stos dword ptr [edi]

ebx, esi, edi를 push하는건 callee saved 레지스터의 백업 절차인거 같긴 한데,
4ch만큼의 스택영역을 CC로 초기화 하는건 설명이 잘 안되네요..ㅠㅠ
그냥 컴파일러가 일정한 영역을 지정해서 초기화 한다고 생각하면 되나요??
저 4ch라는 수치도 vs2005로 컴파일 하면 e4h가 되네요;;

그리고 어떤 책을 보다 보니 함수의 메인을 캡쳐한 코드에 제가 확인한 CC로 초기화 하는 코드가 존재하지 않더라구요.. 이건 또 어떻게 된 일인지 궁금하기도하고 ;;

질문이 너무 정리가 안되네요~~ 설연휴 잘보내시구요 답변 부탁드릴게요 ㅎ;;

코어님 안녕하세요!
pe 공부하다 어떤건 그냥 그림으로 이해하는게 좋은거 같아서 그러는데요..
코어님이 포스팅할때 어떤 이미지 편집툴 쓰시는건가요?
여담입니다만 16진수 계산기 추천해주신거 아주 잘쓰고 있어서 그래픽툴도 추천받아보려구요..
그럼 좋은 하루 되세요!

안녕하세요..
글은 자주 보고 있는데..
댓글 다는게 익숙치가 않은 터라.. 이제야 처음 인사를 드립니다.
(아 이쪽이 신규 질문방인거 같아서 ㅎㅎㅎ 다시 한번 올립니다.)

API 후킹 쪽에 아무리 풀려고 해도 풀리지 않는 숙제가 있어 이렇게 질문을 드립닏.
socket 후킹 부분입니다.
mswsock.dll에 있는 NSPStartup을 후킹하여.
내부에 LPNSP_ROUTINE이 가지고 있는 NSPLookupServiceBegin, NSPLookupServiceNext, NSPLookupServiceEnd의 주소값을 변경하고자 합니다.

redirect.cpp 코드를 사용하여 NSPStartup을 후킹하려고 했스니다만
iexplore.exe에 적용을 해보아도 NSPStartup으로 들어오지 않는 것입니다.

이곳을 소스가 아닌 다른 예제로 해도 그부분은 해결하기가 너무 힘들더라구요..

어느 시점이 NSPStarup 으로 들어오는지 알 수가 없습니다. 아무래도 dll Injection전에 한번만 로드가 되는거 같은데 이런경우 NSPStartup을 어떻게 찾아서 후킹 할 수가 있을까요?

아니면 직접 LPNSP_ROUTINE의 NSPLookupServiceBegin 값들을 후킹하는 방법은 없을까요?

바쁘시겠지만 조그만 조언이라도 부탁드립겠습니다.

안녕하세요? 유상윤입니다. 포스팅된 글들을 읽고 도움이 많이 되었습니다.
특히 DLL Injection과 관련된 글은 쉽게 이해할 수 있도록 써 주셔서 큰 도움이 됐어요.
궁금한 점이 있습니다. PE 구조에서의 각 섹션을 파일 별로 가지고 있습니다.
그 파일들을 조합하여 실행 파일로 만들려면 어떤 작업이 필요한가요?
헥스 에디터로 열어봤지만 막막하네요.
아무래도 선행 지식이 부족하다 보니 문제가 막막해진거 같은데요
필요한 지식이 있다면 소개해주셔요! 미리 답변에 대해서 감사하다는 말 전합니다.
수고하세요!

안녕하세요~ stealthprocess을 제 프로그램에 적용중인데요.. 다른 경우는 대부분 숨겨지는 듯 한데, ctrl + alt + delete를 통해서 나오는 작업 관리자의 프로세스창에는 프로그램명이 뜨더군요.. 이것의 해결 방법은 없을까요??

내가 성공을 했다면 오직 천사와 같은 어머니의 덕이다.Topics related articles：


http://highflyer.tistory.com/category/travel 新建文章 4

http://violettalove.tistory.com/53 新建文章 1

http://juyayang.tistory.com/53 新建文章 7

http://minamichiaki.tistory.com/130 新建文章 6

인젝션을 시키지 않고 다른 프로세서의 이미지 베이스 주소를 가져오는 방법이 있나요?

이런 질문 드리기에는 너무 죄송하지만 도저히 몰라서 질문합니다 ㅠㅠ
금방 리버싱 핵심원리 책을 사서 실습하려고 하는 학생입니다.
그런데 release모드로 빌드해서 exe파일을 만들어서 ollydbg로 돌렸는데 책에 나오는 예제랑
다르게 나옵니다... 이건 컴파일러 종류가 달라서 그런건가요? 만약에 컴파일러 종류가 다르면
어떤 컴파일러로 빌드했는지 알수 있을까요? 제가 사용하는 컴파일러는 visual c++ 2010 express입니다

34장 IE접속제어(553page) 부분을 공부하고있는데요 ollyDbg110 을 이용하여 익스플로어를 attach 하였는데 internetConnectW함수에 BP를 걸걸었는데도 불구하고 멈추질 않네요 그런데 또 올려주신 dll 인젝션 하면 또 후킹이 되고... 뭐가 문제인지 도통 모르겠습니다.

안녕하세요
리버싱 공부 중인 학생입니다.
인라인 패치를 하고 있는데 책에 나와 있는데로가 아닌
rdata 영역 또는 data 영역을 이용해서 패치하려는데 패치가 잘 안 되서 질문드립니다.
401083의 JMP 영역은 XOR 7로 잘 바꾸어 주었는데
아마도 패치 영역이 문제인 것 같습니다. 바꾸고 저장해도 다시 디버깅을 해보면
패치했던 부분이 그대로 0000 으로 되어 있더군요
제가 패치한 부분은
rdata 영역일 때 메모리상 pointer to offset은 402000을 시작으로 402B38까지 rdata 내용, 그 뒤로
402B38~403000을 Null 영역으로 계산하였고 그 중 패치는 402B38~402200사이에 했습니다.
(Pointer To Rawdata : 800 / VirutalSize : 138 / SizeOfRawdata : 200)
그런데 제대로 패치가 되지 않아 저의 계산이 틀린 것 같은데 어떻게 계산을 해서 Null영역에
패치를 해야 하는지 궁금합니다.
<data 영역일 경우 403000을 시작으로 40302C 까지 data 내용, 그 뒤로 40302C부터 404000까지
Null 영역으로 잡고 패치했었습니다.>

처음 공부시작하는학생입니다...
올리디버거 글자크기가 너무 작아서요... 눈이 아픈데요
Option의 Appearence의 Fonts를 들어가서 Font parameters의 change를 눌러 폰트사이즈를 변경해도 바뀌지가 않습니다..
글자를 좀 크게볼수있는 방법이 있나요?

처음 리버싱을 공부하는 학생인데 공부하던 도중 IA-32 매뉴얼은 어디에서 얻을 수 있나요?

음 올리디버그로 헬로월드 디버깅 하는 예제를 책을보고 따라해볼려고 올리디버그를 다운받고 예제 HelloWorld.exe도 다운받아서 올디에서 파일을 여는데 이런 에러가 뜨네요.

Unable locate to file " 파일 경로"

이거는 어떻게 해결하나요??

그리고 올리디버그를 관리자 계정에서 사용하는데 그냥 실행하면
you do not have administrative rights on this computer ~~ 라는 메시지 박스가 뜨길래
관리자 권한으로 실행을 해본 결과 메시지박스가 안뜨는 걸 알게 됬는데
이렇게 사용하는게 맞는지요??

질문 읽어주셔서 감사합니다.

안녕하세요

Hello World! 리버싱을 해보려고 Ollydbg 110으로 실행을 했는데 CALL 0040270C는 안보이고

774A01B8 895C24 08 MOV DWORD PTR SS:[ESP+8],EBX 이런게 먼저 나오네요...

200버전으로 다시 실행해도 책에 있는 것처럼 나오지 않아서 책 따라하기가 힘들어요

제 운영체제가 64비트인데 혹시 이것 때문인가요?

datadirectory export값이요.
NT Header - optional header의 멤버를 설명하는 부분에선
datadirectory[0]의 값, 그러니까 Export의 Size값과 RVA값이 모두 00 00 00 00, 00 00 00 00
이라고 나오는데

EAT를 설명하는 부분에선 Size=00 00 6d 19, RVA=00 00 26 2c라고 값이 바뀌어 있습니다.
이유가 뭔가요.

아 위의 질문 취소입니다. 파일이 다른거였네여 ㅈㅅㅈㅅ

안녕하세요
올해 5년차 Windows 개발자 입니다
주로 C/C++ 사용해서 개발은 하고 있습니다 ~ 응용프로그램개발, 시스템 프로그래밍을 했습니다
지금 분야를 보안개발이나 정보보안전문가로 가고 싶은데요
현재 리버싱책을 사서 공부중인데요 IDA Pro 정품을 구매해서 제대로 공부해보고 싶습니다
정품구매 요령하고 어디서 구매하는지 패키지가 얼마정도 하는지 좀 알려주세요
감사합니다 ~

저자분 블로그 관리 너무 안하시는것 같아요.
리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
덕분에 독자들만 개고생하는 결과가 나는거죠.
윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
다시 한번 윤성우님을 찬양하게 되는 부분입니다.

저자분 블로그 관리 너무 안하시는것 같아요.
리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
덕분에 독자들만 개고생하는 결과가 나는거죠.
윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
다시 한번 윤성우님을 찬양하게 되는 부분입니다.

안녕하세요. 애독자이며, 정말 많은 도움을 받고있습니다. 감사합니다.
다름 아니오라 한가지 궁금하게 있어서 질문하게 되었습니다.

a.dll 에서 aaa라는 함수를 실행하면 그 함수안에서 c:\ccc 라를 폴더에서 ccc.ini 불러오고있습니다. 그런데 a.dll 은 제가 LoadLibrary로 실행중에 로드 하는 상황입니다.
a.dll 의 aaa라는 함수에서 c:\ccc 라는 폴더 말고 c:\ccc\sub 라는 폴더로 수정하고싶은데,
책에서 보면 별도의 exe를 만들어서 만들어서 pid를 얻고 그 다음 실행중에인젝션하는 것 같습니다.

a.dll 자체를 수정해서 인젝션 따로 필요없이 하는 처리하는 방법은 없을까요?

안녕하십니까, 저자님의 ollydbg.ini 파일을 적용시킨 후, 실행하고 F7나 F8을 누르면
다른 경고창으로 HelloWorld가 작동하지 않습니다 또는 중지되었습니다 따위의 오류가 발생합니다. 어떻게 해야됩니까??

리버싱의 핵심원리를 공부하다가 궁금증이 생겨서 문의 드립니다.
어떻게 보면 아주 간단한거고, 어떻게 보면 아주 간단하지 않은 질문이지만요^^
제가 궁금한것은 hooking의 기초, SetWindowsHookEx 함수입니다.
(리버싱의 핵심원리 21장, 294~297페이지 소스를 같이 봐주시면 이해가 더 빠르실지도.. ㅎㅎ)
소스 내용은 대충 이러합니다.
콜백함수를 통해 메시지 발생 시(키보드 누르는 메시지 발생 시) notepad일 경우 메시지를 후킹하여 전달하지 않아 키보드 입력이 안되게 하는 알고리즘으로 되어 있습니다.

자 여기서 질문입니다.
1. 부모프로세스가 explorer인 notepad는 정상적으로 후킹이 됩니다. 후킹이 되어 키보드 입력이 되지 않는데요.. 하지만 부모프로세스가 ollydbg인 notepad에는 후킹이 되질 않습니다.(키보드 입력이 정상적으로 됩니다.) 또한 다른 컴퓨터에서 진행해도 똑같이 정상적으로 입력이 됩니다. 이유가 무엇일까요?
2. process explorer를 보면 ollydbg의 자식 프로세스 notepad에는 dll을 클릭해도 아무것도 출력되지 않습니다. 그 이유는 무엇일까요?
3. 정확하게 dll이 붙는 곳은 어디일까요?(이 질문을 하는 이유가 뭐냐면 hookmain 프로그램과 메모장, 그리고 스티커 메모장 실행 시 키보드 메시지를 발생시키자 keyhook.dll이 붙는 것을 확인할 수 있었습니다. -> 이 말은 콜백함수가 우선적으로 호출된 후 injection 된다는 얘기입니다. dll injection 코드가 정확하게 어딘지 모르겠네요.. 올리디버거로 분석하려고 해도 붙질 않으니.. ㅠㅠ) 콜백 함수가 실행되고 dllmain이 실행되는 걸까요..? 흠..
그래서 제가 고민끝에 내린 추측은
콜백함수나, dll injection 과정을 거칠때 ppid가 같아야한다?
아니면 애초에 keyhook.dll이 로드되지 않았다??(process explorer를 볼 시 아무것도 출력이 되지 않아서..)
dll이 정상적으로 injection 되지 않았기 때문에..?? 그 이유는..??
이정도 입니다..
혹여 이 부분을 실습하다가 안되신 분들 계시면 답변 부탁드리고, 아시는 내용이 있으면 댓글 부탁드립니다.

안녕하세요. 지금 코드 인젝션을 공부하고 있습니다. InjectCode() 함수에서
dwSize = (DWORD)InjectionCode - (DWORD)ThreadProc; 이 부분에서 질문이 있습니다.
위의 코드가 MS Visual C++에서 사용되는 코드라면 다른 컴파일러를 사용했을땐 어떤식으로
함수의 크기를 구하는지 알고싶습니다. 답변해주시면 감사하겠습니다.

ollydbg 하다가 비정상 종료 되었는데요.. 그 이후부터 실행하면 바로

"OllyDbg, 32-bit analysing debugger의 작동이 중지되었습니다."

라는 윈도우 창이 뜨면서 실행이 안됩니다. 이를 디버그 해보니

"0x004942D4에(OLLYDBG.EXE의) 처리되지 않은 예외가 있습니다. 0xC000041D: 사용자 콜백 중 처리되지 않은 예외가 발생했습니다."

라고 뜹니다. 언능 고처서 공부하고 싶네요.. 답변 기다립니다..

안녕하세요. 리버싱 핵심원리 책 덕분에 즐겁게 리버싱 공부하고 있는 한 학생입니다. 책을 읽다가 여쭤보고 싶은 내용이 생겨서요. 15장에서 notepad_upx.exe를 디버깅할 때
"이것은 원본 코드의 Call/jmp 명 령 어 (op code : E8/E9)의 destination 주소를
복원시 켜주는코드입 니다. 이 루프도 0 1015436 주소에 BP를설치하여 탈출할수
있습니다."
이 부분에서 궁금한 점이 생겨서요. 위에서 dest 주소를 구한다는 것을 어떻게 알아내셨는지 궁금합니다. 제가 코드에서 알아낼 수 있는 힌트는 4바이트 값을 넣는다는 것 밖에는 없는 거 같아요. OEP로 돌아가 call하는 주소를 보고 알게 된 건가요 아니면 다른 방법이 있었는지 궁급합니다. 올리디버거에서 캡처한 링크 드립니다. http://postfiles11.naver.net/20150925_10/kimjun136_1443188714453wLYni_JPEG/%C4%B8%C3%B3.JPG?type=w1
바쁘셔서 못 보실 수도 있을텐데 좋은 책 써주셔서 항상 감사한 마음 가지고 있습니다. 감사드립니다. ^^