728x90
반응형

2022/04 2

디버깅 할 때 불편한 ASLR 기능(임의 BASE 주소) 끄기

Windows XP에서는 디버깅할 때 PE 파일 베이스 주소가 일정해 IDA 의 디스어셈블 내용과 비교하면서 볼 수 있습니다. 하지만, Windows 7 이상에서는 보안 기능 때문에 로드되는 PE 파일의 BASE가 매번 변경합니다. 그래서 32비트 파일 분석할 때는 Windows XP에서 디버깅했지만 요즘은 Windows XP에서 로드 안되는 32비트 파일도 나오고 64비트 악성코드도 점차 늘어나고 있습니다. 디버거와 IDA Pro 의 베이스주소가 달라 양쪽을 다보는 경우 주소 때문에 불편합니다. (계산해도 됩니다만.... 그건 좀) 해결 방법은 다음과 같습니다. 방법 1) IDA Pro Image base 변경 IDA Pro에서 'Edit' -> 'Segments' -> 'Rebase Program'으..

Reverse Engineering 2022.04.22

고전게임 실행기에서 사용하는 암호 찾기

고전 게임은 네트워크 단절된 윈도우 XP에서 하는데 파일을 다운로드 받았는데 압축 해제가 안됩니다. 처음에는 분할 압축을 인식 못하는걸까 리눅스에서도 풀어봤지만 안 풀립니다. 다른 컴퓨터의 최신 버전에서 압축을 해제하려고하니 암호를 물어봅니다. 암호가 걸려있어 안풀렸고 아마 구버전에서는 잘못된 파일이라고 인식했나봅니다. 암호가 뭔가해서 파일을 다운로드 한 고전게임 블로그를 검색했지만 찾을 수 없었습니다. (없거나 못 찾았거나...) 고전게임 실행기가 떠올랐습니다. 'URL 만 지정해주면 파일을 다운로드하고 실행까지해주니 프로그램 안에 암호 키가 내장되어 있겠구나...' 파일을 확인해보니 닷넷으로 작성되어 있습니다. 닷넷으로 작성된 파일은 dnspy로 코드를 보면 됩니다 전반적인 코드 흐름을 살펴보고 당연..

728x90
반응형