전체 글 (18) 썸네일형 리스트형 PE File Format 1. 소개Windows 운영체제는 기본적으로 파일의 포맷을 PE File Format으로 사용 분류32비트 형태의 실행 파일: PE 또는 PE32 64비트 형태의 실행 파일: PE+ 또는 PE32+ 2. PE File Format 종류종류주요 확장자실행 계열EXE, SCR라이브러리 계열DLL, OCX, CPL, DRV드라이버 계열SYS, VXD오브젝트 파일 계열OBJ32비트 형태의 실행 파일: PE 또는 PE32 64비트 형태의 실행 파일: PE+ 또는 PE32+2.1 기본 구조구성: "PE Header" + "PE Body" 헤더: 이 파일에 대한 대략적인 정보들을 갖고 있음 바디: 실제 데이터들은 바디에 들어가 있음 섹션 헤더: 각 섹션에 대한 파일/메모리의 크기 및 위치, 속성 등이 정의되어 있다... Lena's Reversing for Newbies 1. 실행: Tut. ReverseMe1.exe 2. 분석 2.1 목표 (1) - 메시지 박스(Nag screen) 제거 >> 방법 1: 메시지 박스 함수를 호출하는 부분을 제거 >> 방법 2: 메시지 박스 함수를 호출하는 "상위 함수"가 호출되지 못하게 하거나, 또는 상위 함수가 바로 리턴하게 한다. 메시지 박스가 나타나는 경우 1) 프로그램이 시작될 때 2) "Part10Tut.ReverseMe" 박스에서 [Nag?] 버튼을 눌렀을 때 실행 >> 방법 1: "Nag Screen" 문자열 검색 >> 방법 2: 메시지 박스 검색: MSVBVM50.rtcMsgBox() 함수 1) 우클릭 > [Search for] > [All intermodular calls] : 프로그램에서 사용하는 API 리스트 2) .. abex' crackme #2 분석 1. abex' crackme #2 실행 abex' chacma #2: visual basic으로 작성된 프로그램 시리얼 키(serial key)를 검증하는 프로그램 2. visual basic 파일의 특징 2.1 visual basic (VB) 전용 엔진 msvbvm60.dll (Microsoft visual basic virtual machine 6.0) 이라는 전용엔진 사용 2.2 N code vs. P code VB 파일은 컴파일 옵션에 따라 N code와 P code로 컴파일됨 N (Native) code >> 디버거에서 해석이 가능한 IA-32 Instruction을 사용 P (Psuudo) code >> Interpreter 언어 개념 >> VB 엔진으로 가상 머신을 구현하여 자체적으로 해석.. 이전 1 2 3 4 5 6 다음
