1. pwndbg 설치 (ubuntu 22.04) https://github.com/pwndbg/pwndbg GitHub - pwndbg/pwndbg: Exploit Development and Reverse Engineering with GDB Made EasyExploit Development and Reverse Engineering with GDB Made Easy - pwndbg/pwndbggithub.com 2. 디버깅(1) 파일 생성// Name: debugee.c// Compile: gcc -o debugee debugee.c -no-pie#include int main(void) { int sum = 0; int val1 = 1; int val2 = 2; sum = val1 + v..

1. 정적 분석 악성코드를 실행하지 않고 분석 악성코드의 기능을 파악하기 위해 코드나 프로그램의 구조를 악성코드를 실행하지 않고 분석하는 과정 주요 사용 기법 안티바이러스 도구 사용 (ex. 백신 ..) 악성코드를 판별하는 해시 정보 검증 (모든 exe 파일은 생성될 때 고유의 값을 가짐) 파일의 문자열, 함수, 헤더에서 주요 정보 수집 (e.g. PE viewer) 2. 안티바이러스 스캐닝 악성코드 탐지 (기본) 패턴 매칭 분석(주로 많이 사용): file signatures를 검색하여 찾는 방법 heuristic: 악성코드를 변조시키거나, 신종을 나오게 하는 방법 VirusTotal : https://www.virustotal.com/gui/home/upload VirusTotal www.virust..

1. abex’ crackme #4 실행해보니 시리얼 번호를 입력하라는 창이 뜬다. 값을 제대로 입력하지 않으면 Registered 버튼이 활성화되지 않는다. 따라서, 이 시리얼 번호를 알아내야 한다. Immunity Debugger를 이용해 디버깅해볼 것이다. VB 엔진의 메인함수(ThunRTMain)를 호출(CALL)되는 것을 보아 visual basic파일이다. 접근 방식을 모르겠어서 사용하는 함수들을 확인해보았다. 사용하는 함수의 목록을 보면 __vbaStrCmp 함수가 있는 것을 볼 수 있다. 이 함수는 문자열 비교 결과를 나타내는 Variant (Integer)를 반환한다. https://learn.microsoft.com/en-us/office/vba/language/reference/use..

*PE 파일은 Windows 운영체제에서 사용되는 실행 파일 형식이다. - PE 파일은 32비트 형태의 실행 파일을 의미하며 PE32라는 용어를 사용하기도 한다. -> 64비트 형태의 실행파일은 PE+ 또는 PE32+라고 부르며, PE파일의 확장 형태이다, // PE64 아님! 1. PE File Format (1) PE 파일의 종류 종류 주요 확장자 실행 계열 EXE, SCR 라이브러리 계열 DLL, OCX, CPL, DRV 드라이버 계열 SYS, VXD 오브젝트 파일 계열 OBJ - 엄밀히 이야기하면, OBJ 파일을 제외한 모든 것은 실행 가능한 파일이다. -> DLL, SYS 파일 등은 셸(Explorer.exe)에서 직접 실행X But, 다른 형태의 방법(디버거, 서비스, 기타)를 이용하여 실행이..

1. 함수 호출 규약 (1) Calling Convention(함수 호출 규약) - '함수를 호출할 때 파라미터를 어떤 식으로 처리할까?'에 대한 일종의 약속 - 함수 호출 전에 파라미터를 스택을 통해서 전달한다. - 스택이란 프로세스에서 정의된 메모리 공간이며 아래 방향(주소가 줄어드는 방향)으로 자란다. 또한 PE 헤더에 그 크기가 명시되어 있다. - 즉, 프로세스가 실행될 때 스택 메모리의 크기가 결정된다 그렇다면, 함수가 실행 완료되었을 때 스택에 들어있던 파라미터는 어떻게 될까? 그대로 둔다. 스택에 저장된 값은 임시로 사용하는 값이기 때문에 더 이상 사용하지 않는다고 하더라도 값을 지우거나 하면 불필요하게 CPU 자원을 소모한다. 어차피 다음에 스택에 다른 값을 입력할 때 저절로 덮어쓰이는 데..

1. abex' crackme #1 파일 실행 -> 2개의 메시지 창을 확인 3개의 메시지 창이 뜨는 프로그램인 것을 알 수 있다. 즉, 파일을 실행했을 때 에러가 발생해서 에러 메시지 창이 떴던 것이고, 에러가 발생하지 않으면 다른 메시지창을 뜰 것이다. 시작 주소와 EP가 동일 : 매우 간단하고 명확하게 작성 high language로 작성되었을 때 앞뒤에 붙는 stub code가 없음 어셈블리로 작성된 코드 - 메시지창에 적혀있던 대로 GetDriveType() 함수에서 CD-ROM 타입을 얻어야 할 것이다. - 현재는 root path를 c로 했으므로 하드드라이브가 되어있다. - ExitProcess: 현재 프로그램을 종료하라는 의미 **프로세스와 프로그램의 차이 : 소프트웨어로 패키징된 모든 걸..

1. 리틀엔디언 표기법 (1) 바이트 오더링 컴퓨터에서 메모리에 데이터를 저장하는 방식 빅 엔디언(Big Endian)과 리틀 엔디언(Little Endian) 두 가지 방식이 존재 빅엔디언 - 순서대로 표기 리틀 엔디언 - 역순으로 표기 intel x86 CPU(Windows 계열)이 사용 BYTE b = 0x12; //0x.. -> 16진수 WORD w = 0x1234; DWORD dw = 0x12345678; char str[] = "abcde"; Type Name Size 빅 엔디언 리틀 엔디언 BYTE b 1 [12] [12] WORD w 2 [12][34] [34][12] DWORD dw 4 [12][34][56][78] [78][56][34][12] char [] str 6 [61][62][..

0. 리버싱이란? - 리버스 엔지니어링: 역공학 (1) 리버스 코드 엔지니어링 - 소프트웨어 분야의 리버스 엔지니어링 (2) 리버싱 분석 방법 정적 분석: 파일의 겉모습을 관찰하여 분석 파일 실행없이, 파일의 종류나 크기, 헤더 정보 등을 통해 내용을 확인한다 디스어셈블러를 이용하여 내부 코드와 그 구조를 확인하는 것 또한 정적 분석의 범주에 들어갈 수 있다. 동적 분석: 파일을 직접 실행시켜, 그 행위를 분석하고 디버깅을 통하여 코드 흐름과 메모리 상태등을 자세히 살펴보는 방법 파일, 레지스토리, 네트워크 등을 관찰하여 프로그램의 행위를 분석한다 디버거를 이용하여 프로그램 내부 구조와 동작 원리를 분석할 수 있다 - 필자는 먼저 정적 분석을 통해 정보를 수집하면서 예측 후 동적 분석 방법을 수행한다고 ..