본문 바로가기
728x90
반응형

리버싱/기타19

Anti Debugging using NtSetInformationThread 악성코드 분석하다 나옴. https://msdn.microsoft.com/en-us/library/windows/hardware/ff557675(v=vs.85).aspxhttps://github.com/AdaCore/gsh/blob/master/os/src/ddk/ntddk.h NtSetInformationThread에 두 번째 인자로 들어가는게 아래의 THREADINFOCLASS인데, 여기서 0x11번 째 멤버인 ThreadHideFromDebbger가 인자로 들어가면 디버거가 디버기에서 강제로 분리된다. 두 번째 인자로 값을 0x11이 아닌, 0x0을 주면 우회가 가능하다. 12345678910111213141516171819202122232425262728293031323334353637typede.. 2016. 7. 23.
Anti Debugging using CheckRemoteDebuggerPresent Windows XP 이상부터 사용 가능 1234BOOL WINAPI CheckRemoteDebuggerPresent( _In_ HANDLE hProcess, _Inout_ PBOOL pbDebuggerPresent);Colored by Color Scriptercs ParametershProcess [in]A handle to the process.pbDebuggerPresent [in, out]A pointer to a variable that the function sets to TRUE if the specified process is being debugged, or FALSEotherwise.Return valueIf the function succeeds, the return value is .. 2016. 7. 20.
Anti Debugging using RDTSC 대회 문제 풀다가 안티 디버깅 몇 개 나와서 정리해봄. RDTSC(ReaD Time Stamp Counter) - EDX:EAX에 반환(64bit) The Time Stamp Counter was once an excellent high-resolution, low-overhead way for a program to get CPU timing information https://en.wikipedia.org/wiki/Time_Stamp_Counter 2016. 7. 20.
z3 manual 보호되어 있는 글 입니다. 2016. 7. 6.
Linux remote debugging using IDA pro 우선 아래 명령어를 통해 gdbserver를 설치해주고 1sudo apt-get install gdbservercs IDA에서 Remote GDB debugger 설정하고, 디버깅 버튼을 누르면 아래와 같은 팝업창이 뜸. 이제 주소랑 포트 입력하고 OK 누르면 됨. 근데 내가 깊게 해보지는 않았는데 저 파라미터는 작동 안 하니까 무시하고, main 함수에 파라미터 줄라면 그냥 아래 명령어에다 치면 됨 이제 마지막으로 서버에서 아래 명령어 쳐주면 끝. 1gdbserver localhost:23946 ./baby-recs 파라미터 줄라면 ./baby-re 옆에다가 입력하면 된다. gdbserver localhost:23946 ./(실행할 파일) (agrs) 2016. 6. 6.
PE 섹션 헤더 추가할 때 고려해야할 점들 섹션 추가하려는 것 자체가 PE에 대해 어느정도 알고 있다는 것이기 때문에 각 멤버들이 의미하는 것들에 대한 설명은 생략. Section AlignmentFile Alignment 우선 모든 기준이 되는 위의 두 가지. Virtual Size, RVA, Size of Raw Data, Pointer to Raw Data, Size of Image 그리고 윗 것들 모두 Alignment의 배수가 되어야 함. Section Alignment : Virtual Size, RVA, Size of ImageFile Alignment : Size of Raw Data, Pointer to Raw Data ImageNTHeader.OptionalHeader.SizeOfImage = ImageSectionHeaders.. 2015. 7. 21.
Back to User 코드엔진 6번(링크) 풀다가 알게된 Back to User 정리. 대충 파일을 F9 눌러 실행 시킨 후 무언가의 이벤트에서 멈췄다! 그럼 여기서 Running 상태의 프로세스를 좌측 상단의 정지 아이콘을 눌러 정지(pause)시킨 후 Alt + F9를 눌러 Back to User로 전환 메시지 창에서 '확인'을 눌러 메시지를 없애면 메시지를 띄운 곳 다음에서 멈춰있다! 끝. 2014. 11. 16.
728x90
반응형