Dior2ky의 it's IT

Lena Reversing tutorial 21_4 마지막 네번째 프로그램은 UnPackMe_WinUpack0.39 이다. Ollydbg로 열어준다. 오류창과 함께 시작된다. 특이하게 7C로 시작하는 주소에서 시작이 된다 . Memory map을 열어 확인해본다. 프로그램의 memory 영역이 PE header밖에 없고 크기가 매우 크다. PE header 안에 모든 내용을 집어 넣은 것으로 보인다. 더블클릭하여 좀 더 살펴본다. Entry point가 1018로 되어있다. 401018에 breakpoint를 걸고 실행한 뒤 한 줄씩 진행해본다. 프로그램 영역 내부이지만 다른곳으로 분기하는 부분이 있다. 계속 진행해준다. F8을 눌러 진행하는데 끝이 보이지 않게 계속 진행된다. 아래쪽에 RETN이 보인다..

Lena Reversing tutorial 21_3 세번째 프로그램은 PCGuard4.06C_UnpackmeAll 이다. Ollydbg로 열어준다. 이번에도 ESP를 이용해서 OEP를 찾아주도록 한다. PUSH EBP가 실행되자 ESP값이 변한다. 12FFC0 메모리에 hw bp를 걸어준다. F9를 누르면 break가 걸리는데 의미 없는 곳에 걸린다. 계속해서 눌러주다보면 break가 계속해서 걸리고 마지막엔 멈추게 된다. 강의에서는 F9를 누르다보면 OEP로 가게 되는데 뭔가 이상하다. 바로 401000에 hw bp를 걸고 실행을 시켜도 break가 걸리지 않는다. 해당 파일이 이유는 아직 부족한 실력으로 잘 모르겠다... 강의를 기반으로 계속해서 설명을 하면 OEP를 401000으로 구했기 때문에 d..

Lena Reversing tutorial 21_2 이번엔 두번째 프로그램 UnPackMe_UPX 를 가지고 진행을 한다. 파일이름에서 볼 수 있는 UPX는 상당히 유명한 패커의 일종이다. Ollydbg로 열어준다. PUSHAD로 시작하는 것이 눈에 띈다. 이번에도 ESP를 이용해서 OEP를 찾아주도록 한다. F8을 눌러 한 줄 진행하자마자 ESP값이 변한다. 0012FFA4 에 hw bp를 걸어준다. 그 다음 F9를 눌러 진행해준다. 다음과 같이 break가 걸린다. 00401000으로 분기하고 있고 이 주소가 OEP로 보인다. ollydump를 통해 dump를 떠준다. Rebuild Import는 체크 해제하고 진행한다. LoadPE 프로그램을 통해서 dump 한 파일을 Rebuild PE를 해준다...

Lena Reversing tutorial 21_1 이번 단계의 프로그램은 총 4개이다. 하나씩 진행하도록 한다. 가장 먼저 볼 프로그램은 UnPackMe_FSG2.0 이다. 먼저 Exeinfo PE로 프로그램을 열어준다. FSG 패커로 패킹이 되어있는 것을 확인할 수 있다. Ollydbg로 프로그램을 실행해준다. ESP 값을 통해 OEP를 찾아준다. F8을 눌러 한 줄 넘어가면 ESP 값이 다음과 같이 변한다. 오른쪽 마우스를 눌러 Follow in dump를 눌러 메모리영역을 확인하고 해당 메모리에 hw bp를 걸어준다. F9를 눌러 실행하면 다음과 같이 break가 걸린다. 404000 번지로 분기하고 있다. 이 주소가 OEP로 보인다. Ollydump로 dump를 해준다. Rebuild Impor..