Lena Reversing - tutorial 21_4

Lena Reversing tutorial 21_4

마지막 네번째 프로그램은 UnPackMe_WinUpack0.39 이다.

Ollydbg로 열어준다. 

오류창과 함께 시작된다. 

특이하게 7C로 시작하는 주소에서 시작이 된다 .

Memory map을 열어 확인해본다.

프로그램의 memory 영역이 PE header밖에 없고 크기가 매우 크다. PE header 안에 모든 내용을 집어 넣은 것으로 보인다. 

더블클릭하여 좀 더 살펴본다.

Entry point가 1018로 되어있다. 

401018에 breakpoint를 걸고 실행한 뒤 한 줄씩 진행해본다. 

프로그램 영역 내부이지만 다른곳으로 분기하는 부분이 있다. 

계속 진행해준다. 

F8을 눌러 진행하는데 끝이 보이지 않게 계속 진행된다. 

아래쪽에 RETN이 보인다.

breakpoint를 걸고 진행하니 break가 걸렸다. 

이제 어느 주소로 리턴하는지를 살펴본다. 

프로그램 영역 내부의 주소이다. 함수 프롤로그도 보인다. OEP로 추정할 수 있다.

Import REC를 통해 덤프를 해준다. 

Import REC를 열고 프로그램을 선택한 뒤 오른쪽 마우스를 눌러 Advanced Commands -> Select Code Section(s)를 누른다. 

해당 창이 나오면 Full Dump를 눌러 Dump를 해준다. 

이제 IAT를 수정해준다. 이전에 구한 OEP를 수정하여 IAT AutoSearch를 누른다. 

그러면 값이 이렇게 변하게 된다. 

이제 Get Imports 버튼을 누른다. 

모든 모듈의 Valid가 YES로 되어있는 것이 보인다. 이제 Fix dump를 눌러 마무리한다. 

끝.