'Reversing'에 해당되는 글 16건

  1. 2010.09.02 UPack 상세 분석
  2. 2010.09.01 pe 분석
  3. 2010.08.30 리틀 인디안, 빅 인디안
  4. 2010.08.30 악성코드 분석가 입장에서 본 PE 구조
  5. 2010.08.27 OLE/COM Object Viewer: API 문서가 없는 ATL, OCX 의 Method를 볼수 있는 방법 1
  6. 2010.07.07 ida hexray 연동

UPack 상세 분석

Reversing 2010. 9. 2. 00:05

'Reversing' 카테고리의 다른 글

VA, RVA, RAW  (0) 2011.09.22
바이너리 패치 후 파일 실행 오류  (0) 2011.08.29
pe 분석  (0) 2010.09.01
리틀 인디안, 빅 인디안  (0) 2010.08.30
악성코드 분석가 입장에서 본 PE 구조  (0) 2010.08.30
:

pe 분석

Reversing 2010. 9. 1. 01:49

01 PE 파일 분석-헤더분석
http://kkamagui.egloos.com/3323308


02 PE 파일 분석-Import 분석
http://kkamagui.egloos.com/3325335


03 PE 파일 분석-Export 분석
http://kkamagui.egloos.com/3325981


04 PE 파일 분석-Relocation 분석
http://kkamagui.egloos.com/3326162
:

리틀 인디안, 빅 인디안

Reversing 2010. 8. 30. 10:18
여러 바이트로 되어 있는 데이터 형이 하위 바이트부터 왼쪽에 저장되는 방식을 리틀 인디안(Little-Endian)방식이라 부르고 상위 바이트부터 왼쪽에 저장되는 방식을 빅 인디안(big-Endian)방식이라고 한다. 
또, 리틀 인디언(Little Indian) 방식의 바이트 저장 순서에는 가장 의미 없는 바이트가 먼저 표시되는 반면, 빅 인디언(Big Indian) 방식의 바이트 저장 순서에는 가장 의미 있는 바이트가 먼저 표시된다
예를 들면, 빅 인디안 컴퓨터에서는 16진수 "4F52"를 저장공간에 "4F52"라고 저장할 것이다. (만약 4F가 1000번지에 저장되었다면, 52는 1001번지에 저장될 것이다) 반면에, 리틀 엔디안 시스템에서 16진수 "4F52"를 "524F"와 같이 저장될 것이다. 보통 빅 인디언이라고 하면 IBM 370 컴퓨터와 RISC 방식의 워크스테이션용 CPU들이 빅 인디언을 사용하고, 모토로라 마이크로프로세서 역시 빅 인디안 방식을 사용한다. 왼쪽에서 오른쪽으로 읽는 언어를 사용하는 사람들에게, 이것은 일련의 문자나 숫자를 저장하는 데 있어 자연스러운 방식이기 때문이다. 한편, x86 프로세서들과 인텔 프로세서나 DEC의 알파 프로세서, 그리고 적어도 그것들 상에서 운영되는 일부 프로그램들은 리틀 인디안을 사용한다.
:

악성코드 분석가 입장에서 본 PE 구조

Reversing 2010. 8. 30. 02:38

'Reversing' 카테고리의 다른 글

UPack 상세 분석  (0) 2010.09.02
pe 분석  (0) 2010.09.01
리틀 인디안, 빅 인디안  (0) 2010.08.30
OLE/COM Object Viewer: API 문서가 없는 ATL, OCX 의 Method를 볼수 있는 방법  (1) 2010.08.27
ida hexray 연동  (0) 2010.07.07
:

OLE/COM Object Viewer: API 문서가 없는 ATL, OCX 의 Method를 볼수 있는 방법

Reversing 2010. 8. 27. 10:33
해당 프로그램에 클래스 아이디를 보려면..
http://tory45.egloos.com/4970463    -> 아주 좋은 예다.

*. visual studio 6.0 도구에 있는 프로그램이다. 궂이 다운받을 필요는 없다는거지.

참고 싸이트

1. ole/com object viewer에 대한 설명

http://www.autoitscript.com/autoit3/docs/intro/ComRef.htm

 

2. oleview.exe - download

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=5233b70d-d9b2-4cb5-aeb6-45664be858b6

http://download.microsoft.com/download/win2000platform/oleview/1.00.0.1/nt5/en-us/oleview_setup.exe

 

3. iviewers.dll 파일이 없다고 할 경우

http://download.microsoft.com/download/2/f/1/2f15a59b-6cd7-467b-8ff2-f162c3932235/ovi386.exe

기본적으로 c:\mstools\bin directory에 생성된다. iviewer.dll파일만 원한다면 oleview.exe가있는 폴더에 iviewer.dll파일을 복사하고, 실행창의 명령어 칸에 regsvr32 iviewers.dll 을 입력하여

dll 파일을 register하라고 되어있지만!! (ㅡㅡ; 실행창에서 안되더라 ㅋㅋ 뭐 찾을수 없다나?!)


출처 : http://ratmsma.tistory.com/category/u%E3%85%8C%E3%84%B9%20%20%EB%B0%8F%20%EC%82%AC%EC%9D%B4%ED%8A%B8

'Reversing' 카테고리의 다른 글

UPack 상세 분석  (0) 2010.09.02
pe 분석  (0) 2010.09.01
리틀 인디안, 빅 인디안  (0) 2010.08.30
악성코드 분석가 입장에서 본 PE 구조  (0) 2010.08.30
ida hexray 연동  (0) 2010.07.07
:

ida hexray 연동

Reversing 2010. 7. 7. 15:42

출처 : http://dakuo.tistory.com


IDA에 Hex-Ray라는 디컴파일러 플러그인을 장착하면 분석에 가속도를 붙일 수 있다.

(참고 : IDA의 플러그인은 openRCE에 잘 정리되 있다.(OllyDBG의 플러그인도 이사이트다))
                       http://www.openrce.org/downloads/browse/IDA_Plugins

hex-ray 다운 : http://dakuo.tistory.com/entry/리버싱을-위한-툴-IDA-사용법

hex-ray를 설치하시고 IDA에서 F5를 누르시면 디컴파일된 C언어 코드를 볼수 있습니다.


C언어 소스를 작성한 후 hex-ray로 디컴파일 한 후 각각의 소스를 비교해보면 코드가 정확하게 일치하는 것은 상당히 비슷하다는 걸 알수가 있다.IDA에 Hex-Ray라는 디컴파일러 플러그인을 장착하면 분석에 가속도를 붙일 수 있다.


(참고 : IDA의 플러그인은 openRCE에 잘 정리되 있다.(OllyDBG의 플러그인도 이사이트다))
                       http://www.openrce.org/downloads/browse/IDA_Plugins

hex-ray 다운 : http://dakuo.tistory.com/entry/리버싱을-위한-툴-IDA-사용법

hex-ray를 설치하시고 IDA에서 F5를 누르시면 디컴파일된 C언어 코드를 볼수 있습니다.


C언어 소스를 작성한 후 hex-ray로 디컴파일 한 후 각각의 소스를 비교해보면 코드가 정확하게 일치하는 것은 상당히 비슷하다는 걸 알수가 있다.
: