IDA + OllyDbg

IDA 그리고 OllyDbg

 

아이다, 그리고 올리디버거 간만에 들어보는 단어다

기억이 가물가물해지는걸 방지하기 위해 공부방에 기록을 남긴다

 

IDA 기억나는대로

 

Microsoft Symbol Server 체크를 해야되는 이유: MS 디테일한 정보 획득을 위해 (함수, 이름 등)
Space key 적극 활용
IDA 는 수정 전용, Olly와 연계를 잘 하자

등등

 

 

지뢰찾기로 winmine.exe 테스트

코드패치를 통한 지뢰찾기 !!

 

 

초기 동적분석으로 정보 획득

IDA Function name 을 통해 함수정보 유추

GameOver(), ShowBombs(), DoHelp() 등등

* 육안상 게임 종료, 폭탄그림, 도움말 함수로 추정 가능

 

WinGraph32 - Xrefs from 기능을 통해 실행되는 연관 함수 추가 확인

* 역시 ShowBombs() 연관이 있다

 

 

 

 

 

도움말 DoHelp() 함수를 ShowBombs() 함수로 바꿔보자

 

 

IDA 확인, DoHelp() 시작 위치 -> CODE XREF: MainWndProc(x,x,x,x):loc_1001F0Fp

* loc_1001F0F 로 이동하여 함수 시작 정보 확인

OllyDbg 1001F0F 주소로 이동

* DoHelp() 시작 주소(01003D76)를 ShowBombs() 주소(01002F80)로 바꿔치기

 

여기서 주소값만 변경되었기에 폭탄그림은 변경되지 않는다

그래서 그림까지 완변하게 바꿔보자

 

IDA 에서 ShowBombs() 확인
.text:010034A3  lea  eax, ds:0Ah[eax*4]
.text:010034AA   push  eax
.text:010034AB  call  _ShowBombs@4; ShowBombs(x)

 

PUSH 3 -> 0A
또다른 PUSH -> NOPs

 

 

 

 

완성

 

 

 

 

2009년에 이렇게 했었던 자료도 있다 ㅋㅋ

 

 

 

 

- IDA 책을 다시보고 싶은 어느날 -