Security 썸네일형 리스트형 windbg symbol path 및 명령어 windbg download : http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools/dbg_x86.msi symbol path : srv*C:\symbols*http://msdl.microsoft.com/download/symbols※ 반드시 c:\symbols 라는 디렉토리가 생성되어있어야 하며 설정후 반드시 .reload !process : 현재 동작 중인 프로세스 확인0 thread 까지 확인-1 현재 처리중인 process !vm : 현재 사용하는 가상 메모리 현황 lm : 현재 로드된 디바이스 현황, 자신이 항상 상주하는 메모리 공간 역시 확인 가능 dt.. 더보기 Solution_Lena 08 Lena's tutorial 의 문제 풀이입니다. 더보기 Solution_Lena 07 Lena's tutorial 의 문제 풀이입니다. 더보기 Solution_Lena 06 Lena's tutorial 의 문제 풀이입니다. 더보기 Solution_Lena 05 Lena's tutorial 의 문제 풀이입니다. 더보기 Solution_Lena 03 Lena's tutorial 의 문제 풀이입니다. 더보기 Solution_Lena 02 Lena's Tutorial 의 문제풀이입니다. 더보기 Solution_Lena 01 Lena tutorial 01의 문제 풀이입니다. 더보기 (Manual Unpacking 02) UPack Unpacking 작업환경 VersionHost PCWindows 7Guest PCWindows xp sp3Debugging ToolollydbgImport IAT ToolImport Restructor OEP 찾기 01 모든 압축된 파일을 Unpacking을 하기 위해서는 OEP를 찾아야합니다. 02 ollydbg로 packing된 notepad.exe를 실행 시키면 과 같은 에러가 뜨는데 이는 ollydbg가 자동으로 Entry Point를 찾지 못해서 일어나는 에러이므로 그냥 확인을 누르도록 합니다. 03 Entry Point 찾기stud_PE라는 PE-View를 통해 해당 파일의 EntryPoint를 계산하면 [EntryPoint의 RVA + ImageBase] 이므로 결과 값은 0x1001018라는 주소 값이 나.. 더보기 (이론 01) PE File Format 작업 환경분류이름Host PCWindows 7Guest PCWindows xp sp3Tool -1 HxD EditorTool -2PE-ViewTargetnotepad PE File Format: Portable Excutable File Format 로서 Window 계열의 운영체제에서 사용하는 실행파일의 형태를 말합니다.(winnt.h 에 정의) PE file Format의 전체적인 구조: 과 같은 구조로 실행 파일 내에 있다가 실행하는 순간 약간의 크기만 늘어나면서 Memory에 올라가게 됩니다. 각 구조체 별 설명1. _IMAGE_DOS_HEADER : 총 0x40 Byte로 이루어져 있으며 DOS 파일의 호환성을 위해 만들어 졌으나 현재에는 실제로 사용되는 부분은 e_magic와 e_lfanew .. 더보기 이전 1 2 3 다음
