전체 글
[4] reverseMe.exe 분석
[4] reverseMe.exe 분석
2022.01.23- 2022.01.23 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows Architecture : x64 Tools : PEView, PEStudio, IDA reversMe.exe파일을 리버싱 해보기로 했다. 일단 해당 파일은 악성코드가 아닌 일반 정상적인 프로그램이다 분석과 전체 구조를 가볍게 공부해야하기에는 가벼운 프로그램만큼 분석이 편한건 없는것같다. 프로그램을 실행하면 위와 같이 나온다. Evaluation period out of date. Purchase new license... 간단히 새로운 라이센스를 구매하라는 메세지가 나오면서 프로그램이 종료가 된다...
[2] OllyDbg 단축키 알아보기
[2] OllyDbg 단축키 알아보기
2021.11.08[Reversing] 역공학 분석 : 실행 파일을 역으로 분석하는 행위 정상적인 리버싱 : 프로그램 분석, 업데이트, 패치, 악성 코드 분석 악의적인 리버싱 : 프로그램 크랙, 무단 사용, 시리얼 키 우회, 악성 코드 제작/유포 실행파일(Executable File / *.exe) 명령어에 의해서 특정 작업을 수행할 수 있도록 생성된 파일(Code, Data 포함됨) 각각의 운영체제마다 실행파일 형식이 다르다Linux - ELF (Excutable & Linkable Format) MAC - Mach-O (Mach Object File Format) Windows - PE (Portable Executable) OllyDbg 프로그램을 분석할 때 사용하는 디버거 선수 지식 : 어셈블리어, PE 파일 구조..
[1] 어셈블리 명령어 한 눈에 보기
[1] 어셈블리 명령어 한 눈에 보기
2021.11.08🛠 Assembly Command JL (Jump if less) : 왼쪽 값이 작으면 점프 아니면 진행 (AB) JA (Jump if above) : 왼쪽 같이 크면 점프(A>B) JB (Jump if below) : 왼쪽 같이 작으면 점프(A>B) == JC (Jump if carry flag 1) : CF가 1일 때 점프 JAE (Jump if above or equal) : 왼쪽 값이 크거나 같으면 점프(A≥B) == JNC (Jump if carry flag 0) : CF가 0일 때 점프 JNE (Jump if not equal) : 두 값이 다르면 점프(A! B) JNZ (Jump if not zero) : zero flag가 0이 아니면 점프 JZ (Jump if zero) : zero fl..
[3] 악성코드 분석
[3] 악성코드 분석
2021.11.08- 2021.11.08 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows 10 pro Architecture : 64bit Tools : IDA maleware file : pingguo_21561000328[1].exe [ 과제 목차 ] > IDA를 이용하여 코드를 분석하고 해독 > IDA를 이용하여 코드 내의 상호 참조를 찾아서 체크 > IDA를 이용한 바이너리 패치(프로그램바이트 패치) [ IDA를 이용하여 파일을 분석하여 해동 ] 메모리주소 text:0043544F 의 붉은 영역에서 지역변수들을 확인할 수 있다.지역변수는 -로 체크가 되며 총 7개로 확인되었다. 메..
[2] 악성코드 분석
[2] 악성코드 분석
2021.11.08- 2021.11.01 - ** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. ** [Virtual Environments] OS : Windows 7 pro Architecture : 32bit Tools : OllyDbg200, PEStudio, PEView malware file : [ 악성코드에 취약한 함수 찾기 ] [ 함수 목록 ] > GetProcAddress > GetMeoduleHandle > LoadLibrary [ 취약 함수 설명 ] > GetProcAddress 메모리로 load한 dll에서 함수 주소를 검색한다. PE 헤더에서 import한 함수 뿐 아니라 다른 dll에서 함수를 import할 때 사용한다. > GetMeod..