upack
-
19 UPack 디버깅 - OEP 찾기리버싱 엔지니어링/리버싱 핵심 원리 2022. 3. 30. 01:41
notepad_upack.exe 파일 디버깅을 통한 OEP(Original Entry Point) 찾기 OllyDbg 살행 에러 NumberOfRvaAndSizes 값을 A로 변경하여 초기 검증 과정에서 에러 메시지가 출력됨 크리티컬한 에러가 아니므로 [확인] 버튼을 눌러 넘어감 위 에러로 인해 EP로 가지 목하고, ntdll 영역에서 멈춤 OllyDbg의 버그(혹은 엄격한 PE 체크) 때문에 이런 현상이 발생한 것이므로 강제로 EP를 설정 EP 위치 확인(Stud_PE 사용) ImageBase : 01000000, EP의 RVA 값 : 1018 EP의 VA 값 : 01001018 OllyDbg에서 01001018로 이동 후 'New origin here' 명령을 통해 강제로 EIP 변경 EIP(Exte..
-
18. UPack PE 헤더 상세 분석리버싱 엔지니어링/리버싱 핵심 원리 2022. 3. 30. 01:40
UPack PE 패커로, PE 헤더를 독특하게 변형함 특이한 PE 헤더로 각종 PE 유틸리티(PEViewer 등)들이 정상적으로 동작하지 않음. 따라서, 악성 코드를 UPak으로 실행 압축하여 배포함 현재는 UPack으로 실행 압축된 파일을 악성파일로 진단/삭제함 UPack으로 notepad.exe 실행 압축하기 UPack 다운로드 : https://blog.naver.com/wjdeh313/222290932166 리버싱 핵심원리 : UPack UPack dwing이라는 사람이 만든 패커 매우 독특한 기법으로 PE 헤더를 변형한다고 한다. 검색해서 자료... blog.naver.com notepad.exe를 불러와 [Pack!] 버튼을 통해 실행 압축 : notepad_upack.exe notepad_u..