Lena Reversing - tutorial 21_1

Lena Reversing tutorial 21_1

이번 단계의 프로그램은 총 4개이다. 

하나씩 진행하도록 한다.

가장 먼저 볼 프로그램은 UnPackMe_FSG2.0 이다.

먼저 Exeinfo PE로 프로그램을 열어준다.

FSG 패커로 패킹이 되어있는 것을 확인할 수 있다.

Ollydbg로 프로그램을 실행해준다.

ESP 값을 통해 OEP를 찾아준다. 

F8을 눌러 한 줄 넘어가면 ESP 값이 다음과 같이 변한다.

오른쪽 마우스를 눌러 Follow in dump를 눌러 메모리영역을 확인하고 해당 메모리에 hw bp를 걸어준다.

F9를 눌러 실행하면 다음과 같이 break가 걸린다.

404000 번지로 분기하고 있다. 

이 주소가 OEP로 보인다. 

Ollydump로 dump를 해준다.

Rebuild Import는 체크 해제하고 dump 한다.

이제 dump한 후 LordPE 프로그램을 통해 Dump full을 해주고 

Import REConstructor를 통해 IAT를 수정해주는 작업을 해야한다.

하지만 프로그램이 아예 실행자체를 하지 않고 오류가 난다. 

과정 자체만 설명을 하도록 한다.

 

Import REConstructor로 열고 EP를 4000으로 바꾸어준다.

IAT autosearch를 눌러서 IAT를 찾아주고 그 다음 IAT 테이블을 수정해 주어야 한다. 

아마 11E8로 되어 있을 텐데 Ollydbg에서 메모리를 확인해보면 1198에서 시작함을 알 수 있다.

RVA값을 1198로 변경해준다. 

Get import 버튼을 누르면 화면에 프로그램이 참조하는 IAT가 나오게 된다. 

그 목록중에는 잘못된 값들이 섞여있는데 Show invalid 버튼을 누르면 잘못된 값을이 무엇인지 알려주고

이 값들을 cut thunk 를 해서 삭제해준다. 

모두 수정되었다면 fix dump 버튼을 누르고 저장해준다. 

저장한 파일은 Rebuild PE를 해주면 정상적으로 마무리가 된다. 

 

마무리 IAT를 수정하는 단계에서 오류가 나서 제대로 마무리하지 못했다. 

나머지 다른 프로그램들은 잘 진행되길 바란다...

 

끝.