평범한 학생

오늘은 더미다 OEP찻는법중하나를알아볼것입니다 그 virtualprotect API를이용해서 drive.google.com/file/d/1Dxdm12ROfqlPh4vxTJY-o2TWn_me7oPE/view?usp=sharing 파일은 여기서다운받고 업데이트나 최신일경우 다를수있고 기준으로 2버전기준 2.x 디버거는 x64dbg 플로그인 scryllahide themida 세팅 하드웨어 브레이크설정 그리고실행하면서 MZ를찻으면된다 스택영역을 보면 위에 MZ시그니쳐가있고 400000 1000이니 0x401000이 OEP다

사기 exe 프로그램이다 ASLR우회법 초간단

1 개요 자 이제 IAT와 EAT에 관해서 알아 볼 것이다. 앞 장에서 자세히 설명하지 않고 넘어간 NT Header -> Optional Header -> DataDirectory 멤버의 구조체에서 EXPORT Directory와 IMPORT Directory와 관련된 부분이다. API후킹 방법 중 하나로 활용되므로 꼭 숙지하길 바란다. IAT(Import Address Table)로 쉽게 말해서 프로그램이 어떤 라이브러리에서, 어떠한 함수를 사용하는지 적은 메모장이라 생각하면 된다. IAT의 원리를 알기 위해선 DLL에 대한 개념이 필수적이다. DLL이란, 여러 프로세스에서 공유하면서 쓰는 라이브러리인데 멀티태스킹 환경에서는 각 프로세스마다 라이브러리를 가지고 그 용량을 차지하는 것 보다, 메모리에 ..

사이트추천 https://flack3r.tistory.com/entry/IAT%EC%99%80-EAT IAT와 EAT 1 개요 자 이제 IAT와 EAT에 관해서 알아 볼 것이다. 앞 장에서 자세히 설명하지 않고 넘어간 NT Header -> Optional Header -> DataDirectory 멤버의 구조체에서 EXPORT Directory와 IMPORT Directory와 관련된.. flack3r.tistory.com https://blog.naver.com/cor2quard/150170060697 1.3 PE file format (IAT , EAT 마무리 ) 1. IAT 프로그램에서 어떤 라이브러리의 어떤 함수를 참조하고잇는지 가르쳐주는 테이블 1.1. DLL 그... blog.naver.co..

MUP(Manual UnPacking)을하기때문에 패킹된채로 풀어볼려고한다 만약 UPX가 개조될경우 UPX로 언패킹할수없다 그경우 MUP가있다 UPX의경우간단하다 F9로실행 맨마지막점프문이 OEP(origian Entry Point) 즉원래 엔트리포인터다 X64dbg에 기본내장플로그인인 이걸이용하면된다 IAT Autosearach와 Get imports후 DUMP후 FIX Dump PE rebuild를하면된다 끝

https://github.com/upx/upx/releases upx/upx UPX - the Ultimate Packer for eXecutables. Contribute to upx/upx development by creating an account on GitHub. github.com UPX다운링크 UPX패킹의경우 개조된UPX가아닌경우 버전을찻아서 패킹을풀면 월래대로 돌릴수있다 upx 명령어 upx 패킹 upx 파일위치/파일명 upx 언패킹 upx -d 파일위치/파일명 파일경로 알아내는법 cd 명령으로 cmd로 이동 이걸 알았으니 해제도 할수있겠지 버전같은건 DIE를 활용하도록] http://ntinfo.biz/index.html .:NTInfo:. ntinfo.biz DIE로 버전을알아내고 ..

https://ko.wikipedia.org/wiki/%EC%86%90%EC%8B%A4_%EC%95%95%EC%B6%95 손실 압축 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. 손실 압축(損失 壓縮) 방식은 데이터를 압축하여 자료를 받는 곳에 압축으로 풀어서 원래의 것과 다르게 보여주는 것을 말하지만 어떠한 부분에서는 충분히 유 ko.wikipedia.org https://ko.wikipedia.org/wiki/%EB%B9%84%EC%86%90%EC%8B%A4_%EC%95%95%EC%B6%95 비손실 압축 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. ko.wikipedia.org 압축은 데이터 크기를 줄여서 저장공간을 더욱더 잘 활용하기 위한 기술이다. ..

. EAT(Export Address Table) - EAT · Library FIle에서 제공하는 함수를 다른 Program에서 가져다 사용할 수 있도록 해주는 Table · EAT를 통해서만 해당 Library에서 Export하는 함수의 시작 주소를 정확히 구할 수 있다. · IAT와 동일하게 PE File 내의 특정 구조체인 'IMAGE_EXPORT_DIRECTORY'에 Export에 관한 정보를 저장한다. · 각 Section마다 존재하는 IAT와는 달리 EAT는 PE File내에 하나만 존재한다. · IMAGE_EXPORT_DIRECTORY의 위치 ◦ PEView를 이용해 살펴보면 IMAGE_EXPORT_DIRECTORY 구조체가 존재하지 않는다는 것을 알 수 있으며 IMAGE_OPTIONAL_..

IAT(Import Address Table) · Windows의 Program이 어떤 Library에서 어떤 함수를 사용하고 있는지를 기술한 Table · PE File 내의 특정 구조체인 'IMAGE_IMPORT_DESCRIPTOR'에 Import에 관한 정보를 저장한다. · PE Header에서 Table은 배열을 의미한다. · 각 Section마다 존재한다. 1. IMAGE_IMPORT_DESCRIPTOR 구조체 typedef struct _IMAGE_IMPORT_DESCRIPTOR{ union { DWORD Characteristics; DWORD OriginalFirstThunk; }; DWORD TimeDataStamp; DWORD ForwarderChain; DWORD Name; DWORD..