[REVERSING] 썸네일형 리스트형 [악성코드]Win32/resurrect.29696 분석 #1. 개요 참조사이트 : www.virustotal.com (1) 바이러스 개요 [그림.1] 검색엔진에서 구한 파일명 virus.exe란 파일을 받아서 혹시나 하는 마음에 virustotal을 돌려 보았는데 40개의 제품에서 탐지가 됬고 명칭은 Win32/Resurrect 입니다. 웹에서 바이러스 관련해 분석 된 자료가 있나 찾아보니 관련 자료는 없고 간략한 바이러스에 대한 설명만 있습니다. 해당 파일을 구했을때 C로된 풀소스와 EXE바이너리 파일이 같이 압축되어 있던걸로 보아 학습 또는 테스트 용도로 만들어 놓은것 같습니다. (2) 바이러스 최초 발견과 마지막 발견 및 전파 파일명 [그림.2] (3) 악성코드의 기본 정보 [그림.3] (4) 악성코드의 상세정보 [그림.4] Win32/Resurrect.. 더보기 visual st 2010 에서 release모드 컴파일시 ollydbg 디버깅 상태 visual studio2010에서 c언어로 코딩을하고 release 모드로 컴파일하여 ollydbg로 디버깅시에 내가짠 코드가 보이지 않습니다. 코드가 보이긴 하는데 예로 아래와 같은 간단한 코드인데 불구하고 2+3한과정없이 그냥 5만 olly에서 보여주더라구요. 결론은..몇 차례 멘붕끝에 알아 냈습니다. 알아냈지만 여전히 궁금한 부분은 존재하네요.. 일단 포스팅을 시작하겠습니다. 그림 1과같이 코드는 간단합니다. 함수를 이용해서 덧셈 연산하는 코드입니다. 저 코드를 olly로 열어 보았습니다. 그림2에서와 같이 sum(2,3) 과 2 + 3 연산과정이 없이 그냥 push 5를 해버리지요 참난감합니다. 저함수를 빠저나와 위에서부터 코드 한땀한땀 분석해도 답이없길래 xp에서 visual studio 6... 더보기 reversing.kr replace 보호되어 있는 글입니다. 더보기 CrackMe #2 Back to user 모드를 이용한 Music Player CrackMe #2 안녕하세요. 두번째 포스팅이네요.. 제가 reversing.kr 3번문제도 건너 뛰었는데요. Easy Unpack은 실행압축된 파일(packing)을 upx나 peid로 unpacking 하는 문제라 분석하는 내용이 없으므로 포스팅에 서 제외 했습니다. 그럼 music player 분석을 ollydbg의 back to user 기능을 이용해서 하겠습니다. music player를 실행시키면 1:00분 미리듣기 기능만 가능하도록 만들어서 가요 보통 4분이상 짜리 노래를 1분밖에 들을수 없는 문제가 있네요. 보통 상용 음악에 있는 비슷한 기능이네요 [그림.1] 프로그램을 ollydbg로 실행시키고 F9를 누릅니다 그럼 그림1과 같이 우측 하단에 Running이라고 바뀌게 됩니다. 이것은 .. 더보기 CracMe #1 Easy_KeygenMe CracMe #1 [그림.1] 처음 Ollydbg에 올리면 그림1 과 같습니다. 이 부분에서 중요한부분은 401030,40103D,401042 주소에 있는 부분입니다. [그림.2] 처음 사용자로부터 input name을 받기전에 [ESP+10],[ESP+11],[ESP+12] 주소로 10,20,30 순으로 BYTE단위로 값을 저장 하고있습니다. 이부분이 핵심이 되겠습니다. 자세한건 뒤에 설명하도록 하겠습니다. [그림.3] Scanf 함수에 입력한 abcdefg 총7문자에 \0 널문자 포함 8바이트가 입력이 됩니다. 401070에 NOT ECX는 401062에서 에서 OR ECX,FFFFFFFF 했던것을 다시 비트를 반전시킵니다. 반전시키면 ECX에 8이 저장이되고 \0널문자를 제외해야하기때문에 40107.. 더보기 이전 1 2 다음
