[노트] 진단 우회 방법 - 더미 API 호출

오늘 파일을 보다가 그냥 이런 놈도 있구나 싶어서 몇 자 적는다. 워낙에 이런 애들은 보안 프로그램을 우회하는 여러가지 방법을 이용하겠지만, 이런 것도 있구나 싶었다. 아래는 오늘 본 사례이다. 다른 곳에서 0x1001E4AB로 JMP가 되었는데, 오자마자 PUSH 5F 바로 밑, 0x1001E4B0로 다시 JMP, 여기서는 XOR 5F 결국, Stack의 맨 위에는 NULL 값이 들어가 있게된다. 장난해?;;; 파라메터로 NULL이 들어가 있는 상태로 PathFindNextComponentA 를 호출한다. LPTSTR PathFindNextComponent( LPCTSTR pszPath ); 파라메터가 하나만 있는 API이다. 이런 녀석들이 이런 방식으로 이용하는 API들은 지금까지 대부분 파라메터가 ..
보안/분석 2010. 1. 19. 18:52
[PEiD] Command Line Option (올레~~~)

PEiD 를 커맨드 라인에서 직접 대상 및 검사 방식 등을 지정할 수 있다고 한다. PEiD Command line Options -------------------- -------------------- -------------------- peid -time // Show statistic before quitting peid -r // Recurse through subdirectories peid -nr // Dont scan subdirectories even if its set peid -hard // Scan files in Hardcore Mode peid -deep // Scan files in Deep Mode peid -norm // Scan files in Normal Mode pe..
보안/분석 2009. 12. 3. 15:34
BinDiff v2

보호되어 있는 글입니다.
보호글 2009. 11. 5. 13:22
NEW : BinText 3.03

어허~ Bintext 가 버전이 올라갔네. 뭐가 달라졌는지는 당췌 모르겠지만;;; 아무튼, 노트해놓자. Bintext 프로그램은 파일에서 문자열 정보를 추출해 주는 유용한 도구이다. 파일의 RAW 문자열 정보를 얻어내고 싶을 경우에 이용 가능하다. [ 다운로드 ]
보안/분석 2009. 10. 18. 00:11
LEA operation

그 사용법이 당췌 이해가 안갔는데, 검색을 좀 해보니 이해가 간다. http://www.arl.wustl.edu/~lockwood/class/cs306/books/artofasm/Chapter_6/CH06-1.html#HEADING1-136 The lea (Load Effective Address) instruction is another instruction used to prepare pointer values. The lea instruction takes the form: lea dest, source The specific forms on the 80x86 are lea reg16, mem lea reg32, mem (3) (3) Available only on 80386 and later pr..
보안/분석 2009. 10. 11. 22:31
Reversing Secrets Of Reverse Engineering : RtlGetElementGenericTable

보호되어 있는 글입니다.
보호글 2009. 10. 11. 22:30
Reversing Secrets Of Reverse Engineering : RtlIsGenericTableEmpty

RtlIsGenericTableEmpty 함수에 대해 살펴보면 아래와 같다. RtlIsGenericTableEmpty: 7C92715B PUSH EBP 7C92715C MOV EBP,ESP 7C92715E MOV ECX,DWORD PTR [EBP+8] 7C927161 XOR EAX,EAX 7C927163 CMP DWORD PTR [ECX],EAX 7C927165 SETE AL 7C927168 POP EBP 7C927169 RET 4 //-------------------------------------------------------- // 다시 살펴보면 아래와 같다. 7C92715B PUSH EBP 7C92715C MOV EBP,ESP 7C92715E MOV ECX,DWORD PTR [EBP+8] 7C..
보안/분석 2009. 10. 11. 19:33
Reversing Secrets Of Reverse Engineering : RtlNumberGenericTableElements

위 책에서는 RtlNumberGenericTableElements 함수에 대해 나온다. 코드를 살펴보면 다음과 같다. RtlNumberGenericTableElements: 7C923FD2 PUSH EBP 7C923FD3 MOV EBP,ESP 7C923FD5 MOV EAX,DWORD PTR [EBP+8] 7C923FD8 MOV EAX,DWORD PTR [EAX+14] 7C923FDB POP EBP 7C923FDC RET 4 //--------------------------------------------------------- // 다음과 같이 생각을 할 수 있다. 7C923FD2 PUSH EBP 7C923FD3 MOV EBP,ESP 7C923FD5 MOV EAX,DWORD PTR [EBP+8] 7C9..
보안/분석 2009. 10. 11. 19:12
Reversing Secrets Of Reverse Engineering : RtlInitializeGenericTable

Reversing Secrets Of Reverse Engineering CH5. Beyond the Documentation void NTAPI RtlInitializeGenericTable( TABLE *pGenericTable, : 4 : RtlInitializeGenericTable + 0 TABLE_COMPARE_ELEMENTS ComapreElements, : 4 : RtlInitializeGenericTable + 4 // typedef int (stdcall * TABLE_COMPARE_ELEMENTS) (TABLE *pTable,PVOID pElement1,PVOID pElement2); TABLE_ALLOCATE_ELEMENT AllocateElement, : 4 : RtlInitial..
보안/분석 2009. 10. 11. 16:38
[노트] .COD 와 release 결과물의 차이

단순히 궁금증이 생겨서 비교해보았다. 노트 ㄱㄱ 아래는 .COD 파일을 생성해서 본 결과 TITLE d:\projects_svn\test_forloop\test_forloop.cpp .386P include listing.inc if @Version gt 510 .model FLAT else _TEXT SEGMENT PARA USE32 PUBLIC 'CODE' _TEXT ENDS _DATA SEGMENT DWORD USE32 PUBLIC 'DATA' _DATA ENDS CONST SEGMENT DWORD USE32 PUBLIC 'CONST' CONST ENDS _BSS SEGMENT DWORD USE32 PUBLIC 'BSS' _BSS ENDS _TLS SEGMENT DWORD USE32 PUBLIC '..
보안/분석 2009. 9. 17. 11:21
1 2 3 4 5 6
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함