완이의 성장 일지

Packer - 실행 파일 압축기 사용 목적 - PE 파일의 크기를 줄이고자 하는 목적 - 파일 soruce code와 resource등을 감추기 위한 목적(Compile 과정에서 stripped와 유사한 느낌) Protector : 리버싱 방지 기법 SOURCE : https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis-2/ 순서 : original source file의 entry point를 OEP라고 하며 packing 된후에는 unpacking stub에 EP가 잡힘 그리고 unpacking 한후에 다시 OEP를 가르킴 Packing를 하면 file size가 커짐 Themida - 지상 최고의 packer

magic code는 linux에서의 ELF 헤더에서 ASCII값이 "ELF"를 확인할 수 있듯이 MS-DOS 헤더는 "MZ"로 식별가능 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // Magic number WORD e_cblp; // Byte on last page of file WORD e_cp; // Pages in file WORD e_crlc; // Relocations WORD e_cparhdr; // Size of header in paragraphs WORD e_minalloc; // Minimum extra paragraphs needed WORD e_maxalloc; // Maximum extra paragraphs needed WORD e..

PE Portable Executable File Format - 윈도우에서 사용하는 실행 파일, DLL 파일 등을 위한 파일 형식 - 윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보만을 캡슐화한 데이터 구조체 Executable File Compile Process Tools 1. PEview 2. PEiD 3. exeinfo 4. pestudio 5. preframe.py 6. Stud_PE

교재 - 리버싱 핵심원리 Day 1 정리 패치(patch) - 실행 중인 프로세스 메모리의 내용을 변경하는 작업 ↕ 크랙(crack) - 패치와 동일하지만 의도가 비합법/비도덕의 경우 EP(EntryPoint) - 실행 시작 주소 함수 빠르게 찾는 방법 1. 문자열 검색 - 우클릭 → Search for → All referenced text string 2.1 API 검색 방법 - 우클릭 → Search for → All intermodular calls ! Pakcer/Protector을 사용하여 압축/보호시에 API 목록 확인 불가 2.2 API 검색 방법 - View → Memory ( Alt + M ) - Memory Map 확인(뭘 의미하는지 아직 잘 모르겠음p.34) - Name in all..