NaggingMachine

재미있는 역공학 강좌입니다.출처: http://joseph2625.tistory.com/2

PROTECTiON iD v6.1.3 PROTECTiON iD v6.1.3 faster, more accurate, still better and no more beta - xmas release #2 Core Code changes: - new: width-RESIZEABLE main window - new: user can now choose what protection scans to skip - new: added in new configuration item allowing the user to specify if iso, ccd, mds etc modules are to be treated as discs (and therby subject to a sector scan) - new: abil..

IDAPro의 플러그인으로 제공되는 Process-Stalker에 대한 사용방법을 간단하게 정리해 보았습니다. 프로그램의 흐름을 따라가보는데 유용한것 같네요.

인터넷에서 찾아봤더니 많이들 수고해 주셨네요. □ Libdasm - 라이브러리 형태로 제공되면 함수 3개만 사용하면 곧바로 디스어셈블된 결과를 얻을 수 있다. 특히 다른 디스어셈블러와 달리 특정 코드가 의미하는 바를 주석으로 알려주는 기능까지 제공한다. 비록 정형화되어 있는 형태로 설명을 해주지만 가끔은 사용자가 모를것 같은 코드에 대해서도 소개를 해준다. 예) 00000040 0E PUSH CS ;Push CS register to the stack - 다운로드: http://bastard.sourceforge.net/libdisasm.html□ Win32 Prog Disassembler - 사용자가 결과를 쉽게 제어할 수 있도록 각종 정보를 제공하는 디스어셈블러. - 다운로드: http://www.g..

VMCraft 노용환 차장님(somma)께서 Windows Handle에 대한 주제로 강의해주신 내용입니다. 저도 이번 강의를 들으면서 Windows 커널에 대해서 노용환차장님처럼 전체적으로 이해하시는 분이 국내에 얼마나 될까라는 생각을 했는데요, 아는게 너무 많아서 탈이신 노용환 차장님의 강의를 들어보세요~ Windows Handle에 대한 깊이있는 내용을 들으실 수 있습니다. - 발표자료 다운로드 - 발표자 홈페이지

Window31로 유명하신 강병탁님의 "Windows Program Reverse Engineering" 강의를 PandoraTV에 올려두었습니다. 넥슨 보안팀에 근무중이신 강병탁님의 이번 강의는 역공학 시에 활용되는 다양한 기법과 재밌는 예제들로 구성되어 있습니다. 역공학에 입문하시는 분들이나 역공학 기술을 업그레이드하고 싶은 분들에게 큰 도움이 될 것입니다. 많은 시청 부탁드려요~ 강의가 유익했다면 발표자 홈페이지에 가서 덧글 달아주는 센스, 아시죠~? ^^ - 강의자료 다운로드 - Windows31 바로가기

그러니까 호출하고자 하는 함수의 주소를 테이블에 저장해 두고 있다가 Case 문에 따라서 함수를 주소로 호출하는 코드가 있다고 하자. CALL [EDX+EAX+1C] 이 경우 IDA와 같은 디버거는 호출되는 함수의 시작 위치를 자동으로 인식하지 못하게 되어 완전히 낙동강 오리알 신세의 코드가 생성된다. 예를 들면, IDA에서 sub_XXXX로 시작하는 시작 위치는 지정되어 있지 않았지만, 마지막에 ret 코드는 있는 경우. PUSH EBP ... RET 그런데 HexRay같은 툴을 이용해서 원본 소스 코드를 추출하기 위해서는 반드시 IDA가 해당 코드를 sub 문으로 인식해야 하는데(Hexray는 sub문 단위로 C소스 생성) 이를 위해서는 간단히 시작 위치에 마우스 커서를 이동시켜놓고 마우스 오른쪽 버..

대부분의 자료는 Process Stalker 홈페이지에 잘 나와있는데, 이 툴을 사용하면서 약간 삽질한게 있어서 올려보자면, 1. 최신 IDA 버전에서는 PS가 작동하지 않는다. 버전 문제로 인해서 오류가 발생하므로 해당 SDK를 구해서 재컴파일하면 정상적으로 작동한다. 2. 특정 프로세스에 대한 bpl 파일을 생성한 후에 process-stalker.exe를 실행할 때에는 반드시 -b 옵션을 이용해서 bpl 파일의 경로를 지정해야 한다. 난 당연히 MODULE_NAME.bpl 파일을 자동으로 읽어들이는줄 알았는데, 무려 1시간이나 삽질하고 난 후에야 자동이 아니라 지정해야 한다는 사실을 알게 되었다. 3. -l 과 -r 옵션으로 프로세스를 시작하면 엄청나게 많은 레코딩 데이터가 생성되므로 -a 옵션을 ..

[행사 홈페이지 바로 가기]

안녕하세요, 스마트플레이스의 TechnoBabbler입니다. 여름이 지나가고 어느덧 가을이 왔습니다. 비만 안온다면 주말에 산책하기에 정말 좋은 날씨일텐데 매일 비만 주룩주룩 내려서 이러다가 가을도 이렇게 가버리는건 아닌가라는 걱정이 드네요. 오늘은 해킹에 관한 글입니다. 해킹, 정확히 말하면 '해크(hack)'라는 단어가 MIT의 학생들로부터 유래되었다는 사실은 이미 널리 알려진 사실이고, 국내에서는 한국과학기술원(KAIST)와 포항공과대학(Postech)의 해킹 대회로 일반인에게 그 존재를 각인시켰습니다. 해킹이라고하면 좋은일(good)보다는 나쁜일(bad)에 더 많은 느낌이 치우쳐있지만 이는 사실 크래킹(cracking)이라고 하는 부수기 위한 목적의 행위와는 엄밀히 구분되어야 합니다. 하지만 제 ..