결론부터
- 실행파일이 어느 섹션에 포함 되었는지 확인이 쉽지 않다.
- ascii,40,0x0000004D,-,dos-message,-,!This program cannot be run in DOS mode. 하나만 표시
해결 방법
UPX언패킹!!
| 1.2메인 함수와 사용자 정의 함수 찾기 (VS 옵션 코드 이해) (0) | 2021.10.13 |
|---|---|
| 1.1메인 함수와 사용자 정의 함수 찾기 (VS 옵션 코드 이해) (0) | 2021.10.13 |
| 1.3 숨어 있는 실행파일 추출2 (0) | 2021.10.06 |
| 1.2 숨어 있는 실행파일 추출1 (0) | 2021.10.06 |
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
"1.2 숨어 있는 실행파일 추출1" 연재
파일 확장자만 변경하면 그대로 사용 가능
| 1.1메인 함수와 사용자 정의 함수 찾기 (VS 옵션 코드 이해) (0) | 2021.10.13 |
|---|---|
| 1.4 숨어 있는 실행파일 확인(UPX 패킹시) (0) | 2021.10.06 |
| 1.2 숨어 있는 실행파일 추출1 (0) | 2021.10.06 |
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
"1.1 숨어 있는 실행파일 확인" 연재
작업 전
작업 후
드라이버 파일과, 일반 EXE파일 추출
| 1.4 숨어 있는 실행파일 확인(UPX 패킹시) (0) | 2021.10.06 |
|---|---|
| 1.3 숨어 있는 실행파일 추출2 (0) | 2021.10.06 |
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
| DLL 함수 이름 감추기 (힌트:EAT) (0) | 2021.10.01 |
샘플
실행 전
실행 후
1차 확인
pestudio.exe
The file contains another file,signature: executable, location: .rsrc, offset: 0x00009240, size: 48640,1
The file contains another file,signature: executable, location: .rsrc, offset: 0x00015040, size: 5704,1
file,-,-,-,-,-,-,-,executable, offset: 0x00009240, size: 48640,-
file,-,-,-,-,-,-,-,executable, offset: 0x00015040, size: 5704,-
DRIVER,102,0x00015040,executable (cpu: 32-bit),5704,5.41 %,4.015,Korean,4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 ,M Z .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. @ .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
BIN,101,0x00009240,executable (cpu: 64-bit),48640,46.12 %,4.279,Korean,4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 ,M Z .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. @ .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
자신을 포함한 3개의 실행파일을 확인
ascii,40,0x0000004D,-,dos-message,-,!This program cannot be run in DOS mode.
ascii,40,0x0000928D,-,dos-message,-,!This program cannot be run in DOS mode.
ascii,40,0x0001508D,-,dos-message,-,!This program cannot be run in DOS mode.
2차 확인
CFF Explorer.exe
| 1.3 숨어 있는 실행파일 추출2 (0) | 2021.10.06 |
|---|---|
| 1.2 숨어 있는 실행파일 추출1 (0) | 2021.10.06 |
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
| DLL 함수 이름 감추기 (힌트:EAT) (0) | 2021.10.01 |
| 파일 패킹 전/후 Diff (힌트: IAT) (0) | 2021.10.01 |
IAT 파일/IAT_EAT 파일 Diff 하기
1. 결론
- 왼쪽 트리에서 Export Directory 폴더 확인
- Data Directories [x]에서 Export Directory RVA 확인
2. 정리
- EXPORT Table: PE 파일에서 외부에 공개하고자 하는 함수 정보를 저장
- IMPORT Table: PE 파일에서 외부에 라이브러리를 가져와 사용하는 함수 정보를 저장
| 1.2 숨어 있는 실행파일 추출1 (0) | 2021.10.06 |
|---|---|
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
| DLL 함수 이름 감추기 (힌트:EAT) (0) | 2021.10.01 |
| 파일 패킹 전/후 Diff (힌트: IAT) (0) | 2021.10.01 |
| ASPack MUP(Manual Unpacking) (0) | 2021.09.29 |
원본 파일/1차 수정 파일/2차 수정 파일 동시에 비교
2차 수정 파일은 의도적으로 함수명 하나를 노출했어요.
별거 아닙니다. 그래도 특성을 잘 알아야 혼선을 줄입니다.
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
|---|---|
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
| 파일 패킹 전/후 Diff (힌트: IAT) (0) | 2021.10.01 |
| ASPack MUP(Manual Unpacking) (0) | 2021.09.29 |
| Windows 리버싱 필수 코드 (0) | 2021.05.14 |
원본 파일/UPX 2.90/ASPack v2.12 동시에 비교
기본 자료가 정말 중요하다고 생각합니다.
파일 정보가 무엇이 다른지 찾아보세요?
다른 점을 찾으셨나요?
계속 보시면 보입니다. 이게 역공학에 기본입니다.
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
|---|---|
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
| DLL 함수 이름 감추기 (힌트:EAT) (0) | 2021.10.01 |
| ASPack MUP(Manual Unpacking) (0) | 2021.09.29 |
| Windows 리버싱 필수 코드 (0) | 2021.05.14 |
좋은 영상도 많아요.
하지만 제가 정리한 것이 저에게는 가장 잘 되네요. ^^
| 1.1 숨어 있는 실행파일 확인 (0) | 2021.10.06 |
|---|---|
| 실행 파일에 EAT 확인 (힌트:IMAGE_DATA_DIRECTORY) (0) | 2021.10.01 |
| DLL 함수 이름 감추기 (힌트:EAT) (0) | 2021.10.01 |
| 파일 패킹 전/후 Diff (힌트: IAT) (0) | 2021.10.01 |
| Windows 리버싱 필수 코드 (0) | 2021.05.14 |