보호되어 있는 글입니다.

특정 악성코드의 일부 코드라고 한다. 이 코드에서 배울 수 있는 건 아주 많다. 그래서 하나하나 다 적으면서 복습을 해보려고 한다.넘나 재밌는거.....!! 하루 하루 지날 때 마다 한 단계씩 지식이 늘어나는 것 같아서 너무 좋다 ! 그럼 잡담은 그만하고 공부하자. 핵심 : 1. 작성 된 DLL 일부 이다2. 목표로 삼은 컴퓨터의 IDT 변조를 파악한다. -- IDT의 존재에 대해 오늘 처음 알았죠.3. 목표로 삼은 컴퓨터가 윈도우즈에 로그인 되어 있는지 파악한다. (explorer.exe를 통해) -- 이렇게 파악을 한다는 거면 컨셉이 RCE인가.?4. 목표로 삼은 컴퓨터에 영향을 줄 스레드를 만든다. -- 스레드 안에서 조용히 은닉되어서 악의적 행위를 하려고 하는 것 같다. 내가 최근에 작성해 본 코..

1번. CALL과 RET에 대해 배운 것을 토대로 EIP 값을 읽는 방법에 대해 설명해보자. 왜 단순하게 MOV EAX, EIP라고 하지 않는가도 생각해보자. 리버싱을 하다보면, CALL 명령어 뒤에 레지스터 내 주소 값이나, 특정 주소가 적혀있는 경우를 많이 볼 수 있다.EX) CALL EAX or CALL 40xxxxxx 만약, EAX에 401005가 있다면 Step in을 했을 때 401005주소로 JUMP하게 된다. 이때 401005주소로 점프하면서 EIP값도 401005가 되게 된다. 그렇다면, EIP는 주소 값이 폴짝 폴짝 뛸 때 따라가는 친구라고도 표현할 수 있겠다. CALL 이라는 명령어는 함수를 호출 할 때 쓰이는 명령어이다. CALL 하는 순간 이전 함수의 위치를 저장해두고 새로운 함수..

역공학 책에 있는 연습문제를 푸는 공간이다. 정확한 답은 공부 하다보면 저절로 깨우치게 될 거라 생각한다.. 잠깐 들여다 봐도 상당히 어려워 보이는 연습문제가 많다. 하지만, 고민하는 시간이 많아지면 멋진 리버서가 되지 않을까.?