정짱의 작은 도서관

[Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE)PE 파일의 전체 구조를 보며, 불필요한 부분을 삭제하고 변경을 통해 크기를 줄이는 목적으로 작성하겠습니다. Helloworld.exe0.01MB 파일 최초 크기9,216 바이트 이며, 실행 시 Hello World가 출력됩니다. 파일 전체 구조1. IMAGE_DOS_HEADER와 MS-DOS_Stub 1.1 IMAGE_DOS_HEADERIMAGE_DOS_Header의 구조체를 확인 했을 때 구조체 중 "e_magic" 필드와 "e_lfanew" 필드가 가장 중요하다고 합니다.해당 부분을 제외한 다른 나머지 영역은 0으로 변경해주었습니다.(해당 영역을 삭제해 버리게 되면,..

[Reversing] IMAGE_SECTION_HEADER 1. IMAGE_SECTION_HEADER PE 헤더의 마지막 영역인 IMAGE_SECTION_HEADER 입니다.IMAGE_SECTION_HEADER는 각각 섹션에 대한 정보가 저장되어 있습니다.typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocations; DWORD PointerToLinenumbers;..

[Reversing] IMAGE_DATA_DIRECTORY 1. IMAGE_DATA_DIRECTORY IMAGE_DATA_DIRECTORY 구조체는 IMAGE_OPTIONAL_HEADER 구조체의 구성요소입니다.IMAGE_DATA_DIRECTORY 구조체를 구성하는 요소들입니다.총 16개로 IMAGE_DATA_DIRECTORY[0] ~ IMAGE_DATA_DIRECTORY[15] 입니다.마지막 부븐은 0x0 값으로 채워져있어 의미가 없는 부분이라고 합니다. 1.1 EXPORT TABLE프로그램에 제공하는 함수에 대한 정보가 존재하는 Export TABLE이 메모리 상의 시작주소와 크기값에 대한 정보를 알 수 있습니다. 즉, DLL/SYS 라이브러리 파일에서 제공하는 함수를 다른 프로그램에 가져다 사용할 ..

[Reversing] IMAGE_NT_HEADER IMAGE_NT_HEADERtypedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; 위 그림은 IMAGE_NT_HEADER 구조체입니다. 해당 구조체는 4byte 크기의 Signature 그리고 IMAGE_FILE_HEADER, IMAGE_OPTIONAL_HEADER32이 있습니다. 1.1 Signature가장 먼저 Signature입니다. IMAGE_NT_HEADER 구조체의 시작부분인 Signature는 실행파일이 ..

[Reversing] IMAGE_DOS_HEADER IMAGE_DOS_HEADER typedef struct _IMAGE_DOS_HEADER{ WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp; WORD e_csum; WORD e_ip; WORD e_cs; WORD e_lfarlc; WORD e_ovno; WORD e_res[4]; WORD e_oemid; WORD e_oeminfo; WORD e_res2[10]; LONG e_lfanew;} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; 위에 보이는 것이 IMAGE_..

[Reversing] PE 파일 구조 찾기 파일을 가지고 직접 찾아 보겠습니다. 파일 전체 구조 설명 1번은 e_magic이며, MZ 입니다. MS-DOS 헤더의 시작이겠죠2번은 e_lfanew이며, IMAGE_NT_HEADER의 구조체 위치를 나타내죠 1번은 IMAGE_NT_HEADER의 Signature 입니다.2번은 IMAGE_FILE_HEADER의 Machine 입니다.3번은 NumberOfSections 부분이며, 파일이 가진 섹션 수를 알려주고 있죠4번은 TimeDateStamp입니다.5번은 MAGE_OPTIONAL_HEADER32의 구조체 크기를 알수 있습니다. 1번은 IMAGE_OPTIONAL_HEADER의 Magic로 "32bit - 0x10B", "64bit - 0x20B" 입니다.2번..

[Reversing] PE 파일 구조 정확하지 않을 수 있으며, 전체를 다루지 않았습니다. 주요 구조 IMAGE_DOS_HEADER IMAGE_NT_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER IMAGE_SECTION_HEADER IMAGE_IMPORT_DESCRIPTOR IMAGE_EXPORT_DIRECTIORY IMAGE_IMPORT_BY_NAME IMAGE_THUNK_DATA32 peview로 바라본 PE 구조 IMAGE_DOS_HEADERtypedef struct _IMAGE_DOS_HEADER{ WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_..

[Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VM FLARE 팀이 개발한 FLARE VM 설치 FLARE VM 관련 정보와 문서는 다음 깃허브 사이트에서 찾아볼 수 있습니다. https://github.com/fireeye/flare-vm 위 사진과 같이 해당 파일을 받아줍니다. VMware Workstation Pro Windows7 가상머신에서 해당 파일의 압축을 풀어 줍니다. 이후 Windows PowerShell을 실행 시켜줍니다. 위와 같은 명령어를 입력해 주면 설치가 되는데 그 전에 해당 install.ps1 파일의 속성 부분을 눌러보시면 "??해제" 와 같은 문구가 있었던걸로 기억하는데 설치한지가 꽤 되서 기억이 나지 않습니다...