본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-

Study/reversing5

window aslr 제거하는 방법 안녕하세요 오늘은 aslr 제거하는 방법에 대해서 알아보도록 하겠습니다. aslr 이란 ? address space layout randomization 즉, 주소의 공간을 무작위로 배치한다 라는 뜻입니다. 리버싱 방지 기술 중에 하나입니다. 그럼 오늘은 aslr을 제거 하는 방법에 대해서 소개하도록 하겠습니다. 준비물 : aslr 이 적용된 프로그램 , hexediter , peview, ollydbg (확인용) (저는 window7 지뢰찾기를 대상으로 했습니다.) peview 프로그램을 사용하여 aslr 이 존재하는지에 대해서 판단합니다. 1. peview 에대 대상 파일을 올립니다.(저는 minesweeper.exe)여기서 IMAGE_INT_HEADER에 들어갑니다. 위와 같이 나와 있는 것을 확인.. 2016. 9. 9.
process id (pid)를 쉽게 확인하는 방법 (윈도우) 안녕하세요 오늘은 pid를 쉽게 확인하는 방법을 알아보도록 하겠습니다. pid 는 무엇일 까요 ?pid 는 process id 를 뜻합니다. 그럼 process 는 무엇일까요?컴퓨터 분야에서는 ‘실행중인 프로그램’이라는 뜻으로 쓰인다.출처 -네이버 두산백과- 그럼 쉽게 pid 를 확인하는 방법을 알아보겠습니다. (Alt+ctrl+delete) --> 작업관리자 --> 세부정보 를 보시면 확인하실 수 있습니다. 참고로 프로그램을 종료하고 다시 실행시키면 pid 가 변합니다 . 2016. 9. 1.
window xp 지뢰찾기(1) 안녕하세요 이번에는 지뢰찾기 (1) 마지막 편일거 같아요 입니다. 일단 이 지뢰가 메모리 상에 올라갈 때 어떤 메모리 주소로 올라가는지 파악해 보겠습니다. 지금 초록색으로 보이는 곳을 보시면 곳을 보시면 LEA 라는 명령어로 주소 값을 복사합니다. 그 주소값을 해석해 보면 1005340에서 ESI 를 더하고 EAX를 더한 주소값 입니다. 제가 찾은 ESI 값과 EAX값이 그대로 올라가진 않고 SHL 이라는 명령어로 시프트를 한 후에 올라갑니다. 그럼 고정적으로 변하지 않는 100540의 메모리 주소로 가봤습니다. 자 여기서 BP를 걸어놨기 때문에 f9를 눌러가면서 메모리 값의 변화를 주시해봤습니다. 그랬더니 저렇게 “?” 라는 문자가 생성 되는 것을 볼 수 있었습니다. 이것을 실제 Ollydbg로 실행시.. 2016. 9. 1.
window xp 지뢰찾기(0) 안녕하세요 오늘은 지뢰찾기 리버싱을 해보겠습니다. 준비물 : IDA, Ollydbg, 윈도우 xp 버전 지뢰찾기 32bite, 지뢰찾기의 심볼 목적 : 지뢰의 위치를 미리 파악한다. 1. 일단 IDA 에 winmine을 올립니다 .(그림 표 같은 것 이 나오면 tab을 눌러주세요) 저는 리버싱이 처음이라 저 코드 한줄 한줄 해석하고 있었습니다 ㅜㅜ. 계속 한줄 한줄 해석하고 있다가 발견한 것 이 바로 왼쪽의 functions name 입니다. 즉 함수의 이름이죠 자 쭉 내려보면 심볼이 있기 때문에 어떤 기능을 하는지 대충 알 수 있습니다. 그래서 저는 처음으로 StartGame()에 들어가 봤습니다. (alt+t 로 검색할 수 있습니다. ) 이러한 코드가 나옵니다. 더욱 자세히 알기위헤 tab 키를 이용.. 2016. 8. 29.
리버싱이란 ?? 리버싱이란 개발이 완료되어 유지보수가 이루어지고 있는 소프트웨어 시스템의 구성요소를 알아 내고, 구성요소들 간의 관계를 식별하고, 대상(object) 시스템을 분석하는 과정이다. (두산백과) 이렇게 정의 되어 있습니다. 쉽게 말해서 소프트웨어를 분석한다 라고 생각 하시면 될 것 같습니다. 저는 처음 리버싱을 지뢰찾기로 공부해볼 생각입니다. 아 그리고 저는 공부할 때 필요한 '리버싱 핵심원리'라는 책을 구입했습니다. 어우 책 크기 만큼이나 사진이 크게 나오네요 2016. 8. 29.