IDA 그리고 OllyDbg
아이다, 그리고 올리디버거 간만에 들어보는 단어다
기억이 가물가물해지는걸 방지하기 위해 공부방에 기록을 남긴다
IDA 기억나는대로
Microsoft Symbol Server 체크를 해야되는 이유: MS 디테일한 정보 획득을 위해 (함수, 이름 등)
Space key 적극 활용
IDA 는 수정 전용, Olly와 연계를 잘 하자
등등
지뢰찾기로 winmine.exe 테스트
코드패치를 통한 지뢰찾기 !!
초기 동적분석으로 정보 획득
IDA Function name 을 통해 함수정보 유추
GameOver(), ShowBombs(), DoHelp() 등등
* 육안상 게임 종료, 폭탄그림, 도움말 함수로 추정 가능
WinGraph32 - Xrefs from 기능을 통해 실행되는 연관 함수 추가 확인
* 역시 ShowBombs() 연관이 있다
도움말 DoHelp() 함수를 ShowBombs() 함수로 바꿔보자
IDA 확인, DoHelp() 시작 위치 -> CODE XREF: MainWndProc(x,x,x,x):loc_1001F0Fp
* loc_1001F0F 로 이동하여 함수 시작 정보 확인
OllyDbg 1001F0F 주소로 이동
* DoHelp() 시작 주소(01003D76)를 ShowBombs() 주소(01002F80)로 바꿔치기
여기서 주소값만 변경되었기에 폭탄그림은 변경되지 않는다
그래서 그림까지 완변하게 바꿔보자
IDA 에서 ShowBombs() 확인
.text:010034A3 lea eax, ds:0Ah[eax*4]
.text:010034AA push eax
.text:010034AB call _ShowBombs@4; ShowBombs(x)
PUSH 3 -> 0A
또다른 PUSH -> NOPs
완성
2009년에 이렇게 했었던 자료도 있다 ㅋㅋ
- IDA 책을 다시보고 싶은 어느날 -
'공부 > 콤퓨타' 카테고리의 다른 글
malware(fping.exe) (0) | 2015.10.28 |
---|---|
악성 도메인 구별법 (0) | 2015.10.28 |
Cheat Engine (0) | 2015.10.27 |
abex 3rd crackme (0) | 2015.10.26 |
abex 1st crackme (0) | 2015.10.26 |