728x90
반응형
reversing.kr이나 다른 대회에서도 가끔 AutoHotKey(이하 AHK) 매크로로 만든 .exe 파일 분석문제가 출제된다.
이번 2018 여성해방에도 나왔는데 자꾸 까먹고, 자꾸 헷갈려서 정리.
우선 AHK로 만든 .exe의 대부분의 아이콘은 위와 같이 생겼다.
최근 대회를 진행하다 이걸 보고 어디서 많이 본 아이콘이다 싶었는데, 곰곰히 생각해보니 reversing.kr에 있던 문제의 아이콘이었다.
AHK 같은 경우 python으로 작성한 .exe 파일처럼 실행코드가 메모리에 남는다.
python으로 작성한 .exe 파일과 같이 스크립트를 읽어서 실행하기 때문이다.
AHK로 만든 .exe 파일을 분석하는 방법은 크게 두 가지이다.
첫 째, 디컴파일
스크립트를 .exe로 만든 것이기에 당연히 디컴파일이 된다!
Exe2Aut v0.10.0.0 (2014-01-09).7z
제작 페이지는 https://exe2aut.com/ 이쪽인데, 아쉽게도 닫혀있다.
둘 째, exe에서 인크립트된 스크립트를 디크립트 하는 부분을 찾는 것이다.
앞서 말했듯이, AHK의 원본 스크립트는 메모리에 올라간다(주석까지 모두 포함).
일반적인 디컴파일 툴로 디컴파일이 안 된다면 이 부분을 찾으면 된다.
위의 작은 반복문을 모두 돌면 아래처럼 메모리에 원본 스크립트 코드가 남게 된다.
(다음에 비슷한 문제가 출제된다면 AoB Injection을 시도해봐야겠다)
728x90
반응형
'리버싱 > 기타' 카테고리의 다른 글
C# 패킹 (0) | 2020.12.03 |
---|---|
Microsoft Office Macro에 패스워드 걸려있을 때 (0) | 2020.11.14 |
API Hooking with MS Detours (0) | 2019.07.01 |
Anti VM (0) | 2019.01.02 |
Anti Reversing 정리 (3) | 2019.01.02 |
how to extract python code from pyinstaller (0) | 2017.04.14 |
IL 코드 보기 (0) | 2017.01.15 |
arm, powerpc, mips Cross Compile, Execute and Remote Debugging (0) | 2016.10.23 |
Code Injection from BlackEnergy (0) | 2016.10.12 |
프로세스 시작과 동시에 디버거 붙이기 (0) | 2016.09.25 |
댓글