티스토리 뷰

Reversing

[Reversing] PE 파일 만들기④

정짱 정뚱띵 2019.06.25 15:41

[Reversing] PE 파일 만들기


마지막으로 어셈코드를 제작할 것입니다.

[Reversing] PE 파일 만들기①

[Reversing] PE 파일 만들기②

[Reversing] PE 파일 만들기③


1. x64 dbg

- 지금까지 만들어진 파일을 올려보겠습니다.

- 해당 VA 주소는 코드섹션(.text Section)입니다.

- 현재는 0으로 채워져 있으니 코드섹션에 어셈코드를 추가할 것입니다.


[0x401000 x64 dbg]


[.text Section PE]


2. .text Section

이전 게시물에 있는 파일을 열어보시면 위와 같이 .text Section 부분이 0으로 채워져있습니다.

- 이전에 말했듯이 해당(30h)부분에 어셈코드를 제작할 것입니다.

- 200h 부터 추가할 것입니다.


[어셈코드 추가 HxD]


- 추가하였으니 이제 x64 dbg, 어셈코드에 대해 살펴보겠습니다.


[어셈코드 추가 x64 dbg]


[어셈코드 살펴보기]


- x64 dbg와 어셈코드를 살펴보게되면 push, call, add를 볼수 있습니다.

- 살펴보게 되면 68은 push를 가르키며 FF 15는 call 이와같이 작성을 했다는걸 알수 있습니다.


[진행해보기]


3. 함수의 실제 주소 값

- printf, system의 함수를 사용했습니다.

- 실제 msvcrt.dll에서 위 함수의 주소를 찾아보겠습니다.

- x64 dbg 올라가면서 실제 주소를 가지고 온다는걸 알수 있습니다.

- 즉, 함수의 실제 주소 값에서 IAT 주소에 실제 주소 값이 채워진다는 것입니다.


Hello

[최종파일]


댓글
공지사항
«   2019/10   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
Total
134,089
Today
13