정짱의 작은 도서관

[Reversing] DLL 인젝션 DLL 인젝션은 대상 프로세스가 스스로 LoadLibrary()을 호출하게 만들어서 원하는 DLL을 로드하는 것. CreateRemoteThread()프로세스의 가상 주소 공간에 스레드를 실행시키는 함수이다.하지만 DLL 인젝션을 위해서는 해당 CreateRemoteThread()을 통해 LoadLibraryA() 함수를 호출하게 만들어야 된다. OpenProcess()을 이용하여 프로세스의 핸들을 구한 후 DLL 경로에 해당 프로세스를 써야되는데 VirtualAllocEx()을 이용하여 메모리 공간을 할당한 후 WriteProcessMemory()을 통해 해당 경로를 쓰게된다.다음으로 LoadLibrayA() 함수의 주소를 구해야 되는데 GetModuleHandle(..

typedef struct _PEB { BOOLEAN InheritedAddressSpace; BOOLEAN ReadImageFileExecOptions; BOOLEAN BeingDebugged; BOOLEAN Spare; HANDLE Mutant; PVOID ImageBaseAddress; PPEB_LDR_DATA LoaderData; PRTL_USER_PROCESS_PARAMETERS ProcessParameters; PVOID SubSystemData; PVOID ProcessHeap; PVOID FastPebLock; PPEBLOCKROUTINE FastPebLockRoutine; PPEBLOCKROUTINE FastPebUnlockRoutine; ULONG EnvironmentUpdateCoun..

0x00000000 STATUS_SUCCESS 0x00000001 STATUS_WAIT_1 0x00000002 STATUS_WAIT_2 0x00000003 STATUS_WAIT_3 0x0000003F STATUS_WAIT_63 0x00000080 STATUS_ABANDONED 0x000000BF STATUS_ABANDONED_WAIT_63 0x000000C0 STATUS_USER_APC 0x000000FF STATUS_ALREADY_COMPLETE 0x00000100 STATUS_KERNEL_APC 0x00000101 STATUS_ALERTED 0x00000102 STATUS_TIMEOUT 0x00000103 STATUS_PENDING 0x00000104 STATUS_REPARSE 0x00000105 S..

[Reversing] Process Hollowing 기법 - [ https://github.com/m0n0ph1/Process-Hollowing ] : source code “[processshollwing.exe] [target binary] [to be run binary]”Argv[1] 대상은 notepad.exe로 설정, Argv[2] 대상은 calc.exe로 설정. CreateProcess()을 이용하며 CREATE_SUSPENDED를 플래그로 사용한다. Notepad.exe 프로세스를 SUSPENDED 모드로 실행한다. ResumThread()가 호출될 때 까지 실행하지 않는다. SUSPENDED로 생성된 프로세스의 경우 GetThreadContext()을 이용하여 정보를 얻어와 EBX값을 ..

[Reversing] Packer, Crypter, and Protector Packer일반적으로 'runtime packers" 약자이다. 해당 기술은 실행 가능한 압축으로 이런 종류의 압축은 파일을 더 작게 만들기 위해 나왔다고 한다. 하지만 더 작은 파일의 필요성이 사라지면서 대부분 악의적인 목적으로 쓰인다. 리버싱을 더 어렵게 만들기 위해서 사용되고 있다. 대표적인 UPX 패커는 실행 압축이란 표현의 패킹/언패킹 개념 Crypter우회하는 것이 본연의 목적으로 일부 패커와 동일하며 난독화라고 불린다. JavaScript나 VBScript에서 자주 사용된다.크립터가 된 파일 역시 크립터를 디코딩 후 분석이 필요하다. Protectors리버싱을 방지하기 위한 부분으로 패킹과 암호화를 모두 포함 할 수..

[Reversing] Inline Code Patch [Reversing] Inline Code Patch ① 이제 Code Cave를 먼저 거치고 OEP로 가게 될 것입니다. 우선 "리버싱 핵심 원리"를 보시면 총 3가지 방법을 알려줍니다.①파일의 빈 영역

[Reversing] Inline Code Patch [Reversing] Inline Code Patch ② 원하는 코드를 직접 수정하기 어려운 경우 코드 케이브라고 하는 패치 코드를 삽입한 후 실행해 프로그램을 패치시키는 기법을 인라인 코드(Inline Code Patch)라고 합니다.또 하나의 개념은 코드 게이브(Code Cave) 입니다. 흐름을 변경하여 삽입된 코드 영역을 거쳐서 수행되도록 하는 기법을 말합니다. 위 파일을 통해 실습을 할 것입니다.[프로그램 실행시 팝업창] - 살펴보니, 텍스트 박스에 unpack me와 같은 문자가 보입니다.- x64 dbg를 통해 살펴보겠습니다. 1. x64 dbg & 흐름분석- EntryPoint로 이동을 하겠습니다.401000 PUSHAD- PUSHAD를..

[Reversing] Printf()함수 스택프레임(Stack Frame) [Reversing] 스택프레임(Stack Frame)이전 게시물의 예제 중 printf("%d\n", x); 부분에 대해 간략하게 설명을 하겠습니다. printf() 함수 호출4010BB PUSH PROJECT1.41C798- 해당 41C798 주소에는 "%d\n" 문자가 있는걸 알수있습니다.[printf() 함수 호출 전 PUSH 부분] - printf() 함수의 스택 프레임을 생성합니다. 다음을 보시게 되면 순서데로 작성해보겠습니다. PUSH EBP- 스택에 현재의 EBP를 저장합니다. MOV EBP, ESP- printf()의 ESP 값을 EBP에 옮겨주었습니다. PUSH ESI- 스택에 ESI를 저장합니다.- ESI는 데..

[Reversing] 스택프레임(Stack Frame) 스택프레임- 새로운 함수가 호출 될 때 호출 후 원래의 위치로 돌아갈 정보를 담고 있습니다.- ESP, EBP 레지스터를 사용해서 변수나 원복주소에 접근하는 방식입니다.- 즉, 함수가 호출 될때 그 함수가 가지는 공간 구조입니다. 스택 프레임 예제#include int main(){int x;printf("정수입력 : ");scanf_s("%d", &x);printf("%d\n", x);return 0;}[소스코드] 스택 프레임의 구조[예제 스택프레임 구조] [main() 함수의 스택 프레임] x64 dbg- 우선 main() 함수를 찾습니다.- 4012A3 main( )함수 입니다.- 이후 main() 함수가 끝이나고 돌아오는 주소를 보시면 401..