소개
- 『리버싱 이 정도는 알아야지』 저자
- 배 채우는 보안 분석 (#안드로이드 악성앱) 저자
- SecurityFactory 블로그 운영
- 페이스북 그룹 운영
- 메일 주소: itseeyou@hanmail.net
게시글
질문&답변
강의 화면 질문드립니다
안녕하세요. 오타가 있었네요. EAX가 맞습니다. 확인해주셔서 감사합니다.이후 교육 영상 계획은 없습니다. (영상 제작이 어려워서 엄두가 안나네요 ㅎ)그런데 리눅스라고 특별히 다른게 없어요. 운영체제라는 큰 틀에서 보면 동작 방식은 같습니다.Win32 API가 아니라 C언어를 사용하고, 사용하는 디버거가 다르다 정도일 뿐 CPU가 같으면 크게 다르지 않다고 생각합니다. (디버거는 GDB, EDB, cutter 등 다양하니 찾아서 써보고 선택하면 됩니다.)시간이 걸리더라도 스스로 해결해나가다 보면 일취월장 할 수 있을 겁니다. 답변이 도움이 됐으면 좋겠네요.감사합니다.
- 1
- 1
- 158
질문&답변
MessageBoxA() 호출주소 관련 질문있습니다!
맞습니다. 메시지 박스를 띄우는데 필요한 코드들이 해당 주소에 있습니다.좀 더 정확히 얘기하면 USER32.dll의 .text 영역(0x760B1000~0x76158000)이 되겠네요.
- 1
- 1
- 181
질문&답변
OllyDbg 오류
안녕하세요. 질문에 답변을 드리겠습니다. 1. Challenge 01.exe파일을 OllyDbg에 올려놓으면 오류가 발생합니다. 해당 파일은 오류가 뜨는 것이 맞습니다. 생각해보면 당연하다고 볼 수 있는데요.디버거는 PE파일을 로드할 때, 실행 파일이 맞는지, 동작하는데 필요한 정보들이 잘 기록되어 있는지 등 확인 작업을 거칩니다. 그런데 Challenge 01.exe는 PE 파일의 모든 정보를 담고 있지 않습니다. (DOS Stub을 비롯해 파일이 실행하는데 필수적이지 않은 값들은 제외를 했습니다.) 그렇기 때문에 디버거 입장에서는 이 파일이 완벽한 PE 파일 포멧을 가지고 있지 않다고 판단한 겁니다. 오류 메시지는 무시하세요. 아마 코드 시작지점은 맞게 잘 이동 할 겁니다. (여담: 이 파일이 제대로 된 실행파일인지 알고 싶으면 직접 실행해 보세요. 그게 가장 확실합니다.) 2. 동적분석 Tool 오류 동적 분석 Tool은 분석에 매우 유용합니다. 한번 실행해보는 것 만으로도 다양한 정보를 얻을 수 있고, 코드 분석 중에 놓친 것이 없는지 확인하거나 보조하는 역할을 한다고 보면 됩니다. 그래서 처음부터 같이 보는 습관을 만드는 것도 중요하죠. Procexp와 Tcpview는 MS에서 직접 배포하는 툴이라서 오류가 발생할 일이 잘 없는데 뭐가 문제인지 잘 모르겠네요. Windows 7 32bit 환경에서 실습하는데 문제가 발생한건가요?
- 1
- 2
- 644
질문&답변
제공하시는 단축 URL 서비스가 종료되었습니다.
안녕하세요~ URL은 제가 주말에 확인하고 조치하도록 하겠습니다. 알려주셔서 감사합니다. "Challenge01.exe"는 분석용이 아니라 "섹션1. PE File Format"에서 PE 파일을 만들고 나면 나오는 완성본입니다. 직접 만들고 나서 제대로 완성된 것인지 확인해보라고 넣어놨습니다. 그리고 질문자님이 지적하신 문제는 "DOS Stub"과 같이 생략해도 된다고 판단한 값들을 뺐기 때문에 디버거에서 정상적인 PE파일로 인식을 못한 겁니다. 해당 파일은 디버거가 메시지를 띄우지만 코드 시작지점은 재대로 찾아갈 겁니다. 올려주신 그림에도 제대로 찾아가는게 확인되네요. 만약 제대로 찾지 못한다면 코드 시작지점을 직접 확인해서 디버거로 이동(Ctrl+G)한 다음, 수동으로 설정해주면 됩니다. (시작지점 설정: 마우스 우클릭 메뉴에 "New origin here" 항목이 있습니다.) 감사합니다.
- 1
- 1
- 243
질문&답변
비쥬얼스튜디오 6.0
혹시 Windows 7 32bit 가 아닌 다른 환경에서 실습하고 있나요? VS 6.0에서 설치하려고 하는 경로가 실제 운영체제와 맞지 않다면 임의로 설정해줘도 문제가 없을거 같습니다. 코딩 실력이 리버싱 역량을 키우는데 큰 도움이 되기에 교육 마지막에 맛보기로 넣은 것이니 참고하시기 바랍니다. 감사합니다.
- 0
- 1
- 204
질문&답변
무조건 가상환경에서 실행해야하나요?
안녕하세요. 원하시는 어느 환경에서 하셔도 상관없습니다. 그런데 여러가지 이점들을 생각해 봤을 때 가상환경에서 실습하는게 더 좋지 않을까 합니다. 필요한 파일들은 호스트 PC에 다운 받은 다음에 가상 환경으로 옮길 수 있습니다. 감사합니다.
- 1
- 1
- 175
질문&답변
무작정분석해보기 level3 관련 질문 있습니다.
안녕하세요. "메시지 박스 호출 코드"가 "USER32.dll의 .text 영역(0x75B9100 ~ 0x75BF9000)"에 있다고 이해하시면 됩니다. 그래서 USER32.dll이라는 비서에게 메시지 박스를 띄워달라고 요청하는거죠. 답변이 되었으면 좋겠네요. 감사합니다. ※ 메시지 박스 호출 주소(0x75BEEA11)에는 메시지 박스를 호출하는데 필요한 코드들로 구성되어 있습니다.
- 0
- 2
- 200
질문&답변
값을 채울 때
안녕하세요.저도 관습적으로 익혀왔던터라 정확한 이유는 모릅니다.그렇지만 시그니쳐는 상징적인 값이기 때문에 그대로 읽는것이 아닌가 합니다.(실제 "MZ"는 DOS 실행파일을 설계한 사람의 이니셜입니다.) 반면 그외 값들은 Intel CPU의 자료 저장 방식인 리틀엔디언 표기법에 따라 역순으로 읽는 것이 맞습니다.
- 2
- 2
- 169
질문&답변
vmware 윈도우 7 가상환경(윈도우7 iso 파일)
안녕하세요~ 아래 페이지로 가면 다양한 버전의 가상 이미지를 받을 수 있습니다. (90일이 지나면 만료된다고 하니, 처음 설치할 때 스냅 샷을 설정해서 사용하시기 바랍니다.) https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
- 1
- 2
- 1.2K
질문&답변
실습 파일 실행 안됨
안녕하세요~ 사용자 계정 컨트롤 문제일 수 있습니다. 분석 환경의 권한을 높여서 실행해보시길 바랍니다.
- 2
- 1
- 220