ﾚ(ﾟ∀ﾟ;)ﾍ=З=З=З

보호되어 있는 글입니다.

PuTTY.exe 파일 분석하기 IMAGE_DOS_HEADER MS-DOS Stub Program IMAGE_NT_HEADERS ( IMAGE_FILE_HEADER ) IMAGE_NT_HEADERS ( IMAGE_OPTIONAL_HEADER ) IMAGE_SECTION_HEADER ( IMAGE_SECTION_HEADER .text )

PE ( Portable Excutable ) 파일 : 실행 가능한 파일 ( exe, dll, sys, src, ocx 등 ) Win32 기본 파일 형식 ( 윈도우 환경에서 동작 ) 메모리 상에서 실행되는 형태 ( = Process ) : exe + dll 예전에는 exe 단독 사용, 윈도우 환경이 커지면서 여러가지 자원을 사용하기 위해 dll도 같이 사용 실행 과정 PE 파일 실행 -> 헤더 정보를 메모리에 매핑 -> 실제 프로그램 코드로 들어가서 실행 정적 분석에 해당 ( Hex Editor, PEview 등을 사용 ) 더보기 ※ PE 헤더 정보를 메모리에 매핑 1. 실제 프로세스를 위한 메모리 할당 2. 섹션 정보를 메모리에 복사 3. import 정보 처리 4. 기준 재배치 처리 PEview.ex..

어셈블리로 작성된 코드 열자마자 시작 주소 ( EP가 시작주소이며 코드가 간단하고 명확(stub code가 없이)하게 작성되어 있음) 총 3개의 API 함수 사용 -> MessageBoxA, GetDriveTypeA, ExitProcess 00401002 PUSH 402000 ;Title="abex'1st crackme" -> dump 402000 위치로 이동하면 Title 내용 담겨져 있는 것을 확인할 수 있음 0040100E CALL 00401061 ;MessageBoxA, 함수내부에서 ESI=FFFFFFFF로 셋팅됩니다. -> 해당 번지인 00401061을 호출 ( 점프 ) 더보기 ※ [ 00401061 JMP DWORD PTR DS:[} ;USER32.MessageBox ] USER32 : use..

level 3 (비밀번호 : can you fly?) 이번에도 level3 문제에 대해 알기 위해 ' ls ' -> ' cat hint ' 로 hint 파일의 내용을 보았다. hint 파일을 보면 두 가지 정보가 나온다. 첫 번째, autodig 의 소스 코드가 나온다. autodig은 사용자의 입력을 받아 인자가 2개가 아니면 오류를 출력한다. ( argc != 2 ) ' strcpy ' 를 사용해 " dig @ " 를 cmd로 복사하고, 나머지 인자들을 ' strcat ' 를 사용해 이어붙인다. ( strcat ( cmd, argv[1] ) ) ' strcat ' 를 사용해 마지막에 " version.bind chaos txt " 를 이어붙인다. ' system() ' 명령어를 사용하여 cmd 를 실..