본문 바로가기

Reverse

아이다(IDA)의 Debugging - IF문 분석 C언어로 if문을 컴파일한 것을 IDA로 분석해보자. #include void main() { int a = 3; int b = 5; if( a > b) { printf(" a 가 크다 "); } else { printf(" b 가 크다 "); } } IDA 그래프 기능으로 본 해당 소스의 흐름이다. 가운데 지점에서 빨간선과 초록선으로 분기하고 각각의 일을 실행한 후 하나로 합쳐지며 프로그램이 종료된다. .text:00411390 push ebp 에 breakpoint를 설정한다. 디버그 모드로 전환(F9)하여 분석을 해보겠다. 다음은 Main함수이다. .text:00411390 main proc near ; CODE XREF: j_mainj .text:00411390 .text:00411390 var_.. 더보기
아이다(IDA)의 Debugging - FOR문 분석 C언어로 for문을 컴파일한 것을 IDA로 분석해보자. #include int main(void) { int i = 0; int result = 0; for ( i ; i 더보기
리버싱 관련 포스팅 리버싱 쪽은 아무래도 분석이 많아서 화면을 보면서 해야하기에 포스팅을 할때 스샷을 많이 찍다보니 시간이 오래 걸리네요 .ㅠㅠ 빨리 리버싱쪽을 끝내고 윈도우 프로그래밍이나 언어(C, C++, Asm, 자바), 웹(html, php, jsp, mysql, mssql)쪽으로 포스팅 방향을 옮겨야겠어요 더보기
아이다(IDA)의 Debugging - Stack 분석 IDA의 디버깅을 통한 스택의 Stack 분석 분석해볼 프로그램은 IDA의 사용법을 알아보기 위해 예제로 썻던 것을 계속 쓰겠다. 다시 한번 설명하면 func( ) 함수에 세 개의 값을 파라미터로 전달하고 그 값들의 합을 리턴하는 프로그램이다. #include func(int a, int b, int c) { return a+b+c; } int main(void) { int sum; sum = func(1, 2, 3); return sum; } 프로그램이 실행되기 전의 Stack이다. ESP, EBP의 위치를 살펴본다. .text:00401060 push ebp : EBP가 가리키는 곳이 SFP(Saved Frame Pointer)로 변하고, 그 윗부분이 RET로 바뀌며 스택에 EBP값 12FFC0h값을.. 더보기
아이다(IDA) 사용법 디스어셈블러 : 바이너리 파일을 역으로 어셈블리어로 재구성해주는 툴 IDA가 거의 독보적인 자리를 차지하고 있고, 기능도 다양하다. 아이다(IDA)의 장점 : 1. 거의 모든 CPU를 지원 2. FLIRT(Fast Library Identification and Recognition Technology)는 기계어의 코드로부터 컴파일러 특유의 Library 함수를 산출해낼 수 있는 강력한 기능 3. 각종 플러그인 지원 4. Obfuscation(난독화) 코드도 해석이 잘됨 IDA 설정 : IDA의 설정 파일은 ..\IDA\cfg 경로에 있으며 세부 설정을 할 수 있다. 단축키(idagui)를 재설정할 수 있고 disable된 설정을 enable시킬 수도 있다. 디스어셈블 상태와 디버깅 상태에서 특정 어셈블.. 더보기
시스템 모니터링 툴 파일과 레지스트리 변화와 네트워크 상태, 프로세스의 상태를 분석하는 툴들을 소개한다. (2010. 11. 15. 월요일 확인결과 Filemon 이 없어지고 Process Moniter 가 생겼네요. 사용법은 똑같으니 다운받아서 아래처럼 사용하세요 ㅎㅎ) ProcessMonitor : 어플리케이션이 파일들을 어떻게 사용하는지 실시간으로 모니터링해서 오픈, 읽기, 쓰기, 삭제 등의 상황을 정확히 출력해준다. Filemon.exe를 실행하면 돋보기 모양 : 모니터링(Ctrl+E), 모리시계모양 : 필터링(Ctrl+L) 돋보기 모양의 모니터링 버튼(Ctrl+E)을 이용하여 모니터링 시작 · 중지를 할수 있다. 프로그램을 켜놓기만 하면 이벤트 정보가 로그로 쌓이지만 그 양이 너무 많아서 옵션을 주어야 한다. 먼저.. 더보기
리버싱 수행단계 리버싱을 위해서 툴을 사용하는 기본적인 순서이다. 1. 바이너리 분석 2. 문자열 분석 및 Api와 Dll, Event 분석 3. 모니터링을 통한 파일 및 레지스트리, 네트워크 패킷 분석 4. 디스어셈블러나 디버거를 이용한 분석 1. 바이너리 분석, 컴파일러 확인, 패커 여부를 파악한 후에 어떤 언어로 코딩되어 있는지 확인한다. 사용되는 툴 : PEID, HEX Workshop 2. 어떠한 문자열들이 들어있는지 대략적으로 살펴보고, 어떤 Api를 사용했는지, 어떤 Dll을 로딩하는지 주요 이벤트 시점의 위치에 대해서 분석한다. 사용되는 툴 : Dependency Walker, Dumpbin, Strings 3. 모니터링을 해본다. 외부의 시스템과 어떤 패킷이 오가는지도 확인한다. 사용되는 툴 : Proc.. 더보기
올리디버거(OllyDBG)를 이용한 nag 제거와 윈도우 PE 구조 문제 풀이 레나(Lena)라는 제작자가 리버싱 플래시 강좌 40강 중에 3번 강좌에 있는 RegisterMe.exe와 RegisterMe.Oops.exe파일을 풀어보겠다. 강좌 파일을 다운로드 받으면 연습 문제와 강의 파일이 모두 들어 있다. 참고로 관심이 있으신 분들은 1강부터 40강까지 순서대로 모두 보는 것을 추천한다. 자료는 모두 영문이다. 조만간 풀이를 올리도록 하겠다. 문제의 설명을 보면 nag를 제거하고, 헤더 문제를 해결이라고 되있다. nag는 경고창 정도를 의미한다. #03.tutorial 폴더의 files 폴더에 RegisterMe.exe 문제를 올리디버거로 실행해보면 nag 창이 떴다. 확인을 누르면 메인 폼이 뜬다. 종료를 하면 또 nag 창이 뜬다. 처리해야 할 부분은 실행할 때 1번, 종료.. 더보기
올리디버거(OllyDBG)를 이용한 KeyFile 체크 문제 풀이와 바이너리 수정 KeyFile : 인증을 위해서 시리얼키를 원하는 것과 비슷하게 키값을 파일에 저장하거나 어떤 파일 이름이 같은 위치에 있는 것을 확인하는 인증을 할 때 사용되는 파일을 의미한다. 파일과 관련된 문제에서는 파일이나 레지스트리 사용하는 것을 확인하기 위해서 모니터링툴을 사용하는데, Filemon을 주로 사용할 것이다. (Filemon 사용법 참고 : http://dakuo.tistory.com/22) CrackMe 15 문제를 풀어보도록 하겠다. 다운로드 하여 Project1.exe을 실행해보면 올리디버거로 열어서 스트링에 참고할 만한 내용이 있는지 찾아본다. 스트링 추출을 하고 살펴보면 solved라는 문자열을 보인다. 이상한 점은 File Monitor라고 해서 Sysinternals 홈페이지 표시되어.. 더보기
올리디버거(OllyDBG)를 이용한 키젠(Keygen) 문제 풀이 키젠 문제는 프랑스의 haiklr라는 아이디를 쓰는 사람의 홈페이지에서 다운받았다. http://haiklr.new.fr/ 문제를 다운로드 받아서 압축을 풀어보면 ReadMe.txt 파일이 있다. Type : Keygenme Level : Newbie Langage : C (console) Packed : Non 시리얼키들을 생성해내는 문제고, 난이도는 쉬운 편이며, C언어 콘솔어플리케이션이고, 패킹은 하지 않았다고 설명되어 있다. 문제를 실행해보자. Name과 Serial을 입력하라고 나타난다. 입력을 하니까 '잘못된 패스워드'라는 문자열이 출력된다. 올리디버거로 열어서 어떤 알고리즘에 의해서 잘못된 패스워드로 판단했는지 확인해보고 정확한 시리얼값을 찾아보겠다. 문제 파일을 열고, 마우스 우클릭 메뉴에.. 더보기
올리디버거(OllyDBG)를 이용한 CrackMe 문제 풀이 2 이번에 풀어볼 문제는 upx로 패킹이 되있는 문제로 upx -d 옵션으로 압축을 풀어도 되지만 메뉴얼 언패킹하는 방법을 간단하게 설명하기 위해서 올리디버거의 덤프 플러그인을 사용하여문제를 풀어보도록 하겠다. 다음을 다운받아 Plugin 폴더에 넣는다. 올리디버거의 메모리 덤프의 리빌드 기능만으로도 upx 압축은 풀리기 떄문에 쉽게 따라할 수 있는 문제이다. 먼저 PEID로 바이너리를 확인해본다. (PEID 사용법 참고 : http://dakuo.tistory.com/entry/바이너리-분석툴) upx 압축되어 있는 문제 파일인 CrackMe2.exe를 올리디버거로 열어본다. 코드가 압축되었으며, 분석을 더할 것인지 묻는다. 예를 누른 후 아래쪽으로 내려가다 보면 압축이 모두 풀려서 메모리에 올라가 있는 .. 더보기
OllyDbg Command 명령어 사용 커맨드 명령을 사용하려면 특정 상황별로 유용한 api를 알고 있어야 한다. 파일 생성하거나 열기(Open) 16bit : CreateFile 32bit : CreateFileA wide : CreateFileW 파일 입출력(Read&Write) ReadFile : 읽기 WriteFile : 쓰기 파일 접근(Access) SetFilePointer 시스템 디렉터리를 얻어오는 함수 16bit : GetSystemDirectory 32bit : GetSystemDirectoryA wide : GetSystemDirectoryW .ini 파일과 관련된 함수 : ini 구성 설정에 관련된 함수들 16bit : GetPrivateProfileString, GetPrivateProfileInt, WritePrivat.. 더보기
리버싱을 위한 기초 지식 - 진수변환과 CPU 레지스터 1. 진수 변환 : 2진수, 10진수 16진수의 뜻과 자유롭게 변환하는 법을 소개한다. 10진수를 기준으로 해서 2진수와 16진수를 설명하겠다. 2진수는 0과 1로만 이루어져 있어서 1 다음이 한 자리 올림을 한 10이 된다. 2진수가 영어로 binary이기 때문에 뒤에 b를 붙인다. 16진수는 1부터 9, 그리고 A부터 F까지 순차적으로 사용하고, 10진수로 16이 되면 그때 자릿수를 올려 10이 된다. 16진수를 표현할 때는 영어로 hexadecimal이기 떄문에 뒤에 h를 붙인다. 그리고 구분을 더 편하게 하기위해서 앞부분에는 0을 붙인다. 10진수 2진수 16진수 10진수 2진수 16진수 1 1 1 10 1010 A 2 10 2 11 1011 B 3 11 3 12 1100 C 4 100 4 13 .. 더보기
올리디버거(OllyDBG)를 이용한 CrackMe 문제 풀이 crackme author : abex type : cdrom check level : easy tute author : HaQue Ollydbg.exe 실행해서 abexcm1.exe를 open한다. 프로그램이 어떻게 작동되는지 보기 위해 Run(F9)을 한다. 첫 번째 메시지박스가 나타나고, 확인을 클릭하면 두 번째 메시지박스가 나타난다. 확인을 클릭하고 올리디버거를 보면 프로그램이 종료되었음을 알 수 있다. 첫번째 메시지박스에는 CD-ROM을 체크하는 루틴을 우회하라고 나오고 두번째 메시지박스에는 CD-ROM이 아니라고 하며 프로그램이 종료되었다. 이 문제를 푸는 방법에는 메모리 주소 흐름을 바꾸는 방법과, CD-ROM을 체크하는 함수의 리턴값을 변경해서 푸는 방법 2가지 방법이 있다. 1번 방법 풀.. 더보기
올리디버거(OllyDBG) 사용법 리버싱을 하기 위해서 이용되는 툴중에 디버거라는 것이 있다. 이 디버거들 중에 가장 대표적인 것은 올리디버거(OllyDebugger)이다. odbg110.zip를 다운로드 받아서 odbg110 폴더에 압축을 풀고 Plugin폴더와 UDD폴더를 생성한다. Win32_Programmers_Reference.rar로 압축을 풀어 wn32.hlp 파일을 obdg110 폴더에 넣는다. BOOKMARK.dll과 cmdline.dll은 Plugin폴더에 넣는다. Ollydbg.exe를 실행하고 Option -> Appearance ->Directories를 열고 그림과 같이 경로 설정을 하고 다시 실행을 해준다. 이외에 설정해 주면 좋은 옵션은 작업관리자의 프로세스 목록에서 바로 디버깅 연결이 가능한 Jit(Just.. 더보기
Reverse Engineering 이란. Reverse Engineering이란 역으로 분석하는 것이라고 정의할 수 있다. (줄여서 Reversing) 즉, 개발자가 소스 코드를 작성하고 그것을 실행 가능한 바이너리를 만들기 위해 원하는 컴파일러를 선택하여 컴파일시킨다. 이 바이너리의 원래 소스를 파악하기 위해 여러가지 방법을 통해 원래 소스의 구조와 원리를 분석하는데 이러한 과정이 리버싱(Reversing)이다. 또 리버싱은 완성된 프로그램의 수정, 디버깅, 호환과 프로그램의 분석 등 다양하게 쓰이고 있다. 더보기