HACK/Reversing (4) 썸네일형 리스트형 upx unpacker https://ddddhkim.github.io/project/2017/03/20/Python-UPX_UNPACK.py.htmlddddhkim형과 같이 upx언패커를 만들었는데 아주 쉬울줄 알았는데 덤프가 가장 어려웠다IAT rebuild때문에 조금 걸렸는데 이부분은 나중에 다시 좀 더 수정해야겠다. (실수를 하나 했는데 모든 IAT가 idata섹션에만 있는거 아니라서 DataDirectory안에 있는 import table 관련해서 좀 더 수정해야할거 같다.) 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273.. DLL 인젝션 DLL(Dynamic Linked Library)DLL은 동적 링크 라이브러리의 약자로 다른 프로그램에서 사용하는 함수들을 모아둔 것이다. DLL InjectionDLL injection은 실행 중인 다른 프로세스에 특정 DLL을 강제로 삽입하는 것이다.LoadLibrary()를 스스로 호출하도록 명령하여 사용자가 원하는 DLL을 로딩하는 것이다.DLL injection과 DLL loading이 다른 점은 로딩 대상이 프로세스가 내 자신이냐 아님 다른 프로세스냐 하는 것이다. 프로세스에 DLL이 로딩되면 자동으로 DllMain() 함수가 실행된다. DLL injection 구현 방법원격 스레드 생성(CreateRemoteThread() API)레지스트리 이용(AppInit_DLLs 값)메시지 후킹(Set.. PE View path 보호되어 있는 글입니다. MSDN ANNOTATIONS 음 글을 실수로 지워서 다시 작성하게됬습니다사진을 보시면 아시겠지만 이런 기능입니다 우선 설치는https://www.microsoft.com/en-us/download/details.aspx?id=18950 위의 링크에서 다운받아 MSDN을 설치합니다 NEXT를 눌러 설치합니다 설치를 완료 하면 이렇게 볼 수 있습니다 다음은 이걸 설치합니다압축을 풀면 tilib.exe가 win폴더에 있을겁니다 이 경로에 pc 폴더는 다 있을거라 생각합니다 https://github.com/fireeye/flare-ida플러그인 스크립트도 다운받습니다 다운받은 스크립트는 압축 해제 한 다음 모조리 C:\Program Files (x86)\IDA 6.8\plugins 플러그인 폴더에 넣습니다 옴겼으면 이렇게 들어간다음 (s.. 이전 1 다음
