티스토리 뷰
728x90
반응형
[Reversing] PE 파일 만들기④
마지막으로 어셈코드를 제작할 것입니다.
1. x64 dbg
- 지금까지 만들어진 파일을 올려보겠습니다.
- 해당 VA 주소는 코드섹션(.text Section)입니다.
- 현재는 0으로 채워져 있으니 코드섹션에 어셈코드를 추가할 것입니다.
[0x401000 x64 dbg]
[.text Section PE]
2. .text Section
- 이전 게시물에 있는 파일을 열어보시면 위와 같이 .text Section 부분이 0으로 채워져있습니다.
- 이전에 말했듯이 해당(30h)부분에 어셈코드를 제작할 것입니다.
- 200h 부터 추가할 것입니다.
[어셈코드 추가 HxD]
- 추가하였으니 이제 x64 dbg, 어셈코드에 대해 살펴보겠습니다.
[어셈코드 추가 x64 dbg]
[어셈코드 살펴보기]
- x64 dbg와 어셈코드를 살펴보게되면 push, call, add를 볼수 있습니다.
- 살펴보게 되면 68은 push를 가르키며 FF 15는 call 이와같이 작성을 했다는걸 알수 있습니다.
[진행해보기]
3. 함수의 실제 주소 값
- printf, system의 함수를 사용했습니다.
- 실제 msvcrt.dll에서 위 함수의 주소를 찾아보겠습니다.
- x64 dbg 올라가면서 실제 주소를 가지고 온다는걸 알수 있습니다.
- 즉, 함수의 실제 주소 값에서 IAT 주소에 실제 주소 값이 채워진다는 것입니다.
Hello[최종파일]
728x90
반응형
'Reversing > Reversing Tech' 카테고리의 다른 글
| [Reversing] Inline Code Patch ② (0) | 2019.07.19 |
|---|---|
| [Reversing] Inline Code Patch ① (0) | 2019.07.17 |
| [Reversing] PE 파일 만들기③ (0) | 2019.06.25 |
| [Reversing] PE 파일 만들기② (0) | 2019.06.17 |
| [Reversing] PE 파일 만들기① (0) | 2019.06.16 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
250x250