목록전체 글 (33)
D1N0's hacking blog
보호되어 있는 글입니다.
1. pushad, popad x96dbg로 패킹된 파일을 열어 사용자 코드로 실행을 하면 pushad 명령을 찾을 수 있다 프로그램 실행을 위한 언패킹 전에 레지스터 상태를 스택에 저장하고, 언패킹이 끝날때 popad 명령으로 레지스터를 복구한다 pushad를 실행하고 esp를 덤프해서 따라가면 레지스터들이 보인다 저 주소에 하드웨어 중단점을 걸어준다 그리고 F9로 실행하면 언패킹이 끝난 주소에서 멈춘다 위에서 popad 명령이 실행된 것을 확인할 수 있다 jmp 08.1012475가 보이는데, 이 01012475가 이 프로그램의 OEP이다 2. Exeinfo PE 일단 upx로 파일을 언패킹해준다 그리고 Exeinfo로 보면 EP를 바로 알 수 있다 PE버튼을 눌러 헤더 정보를 보면 Image bas..
지난번 글을 보지 않았다면 먼저 보고 오자 03_angr_symbolic_registers 지난번 글을 보지 않았다면 먼저 보고 오자 02_angr_find_condition 지난번 글을 보지 않았다면 먼저 보고 오자 01_angr_avoid 지난 글을 보지 않았다면 먼저 보고 오자 00_angr_find 들어가기 전에 이 글은 angr d1n0.tistory.com 시작 이번에는 스택에 symbolic value를 넣어 스택의 값을 구하는 방법을 알아보겠다 이번 내용은 함수의 호출과정에서의 스택의 변화를 알 필요가 있기 때문에 예제의 환경인 x86환경에서의 함수 호출과정을 알고 난 뒤에 보는게 좋다 C언어 함수 호출과정 - x86 포너블에서 너무 중요하고 기초적인 내용이지만 아직도 헷갈려서 정리한다 이..