www.reversecore.com

- 봉이님 댓글

ㅁㅁ님!
제가 리버싱 공부하면서, 안티리버싱, 악성코드 분석에 관심이 생겨서 인터넷 곳곳 돌아 봤는데요..
안랩 연구원들 분께서 고려대, 서울여대 악성코드 분석 강의를 하시는 것 같더라구요..
관련 강의자료를 구할수 있을까요?
꼭 부탁드립니다.

• reversecore 2010/09/30 19:26 댓글주소 | 수정 | 삭제

  안녕하세요~
  
  ^^ 제 실명을 거론 하셔서 제가 약간 가렸습니다. 양해바랍니다.
  
  강의에 대해서 잘 알고 계시군요?
  
  해당 자료는 수강생 이외에는 비공개 입니다.
  
  참고로 저도 한 섹션을 맡았습니다. ^^

- 봉이님 댓글

core님이 ㅁㅁ님 맞죠?
혹시 core님 이름이 틀렸을수도 있으니, 제가 위에 표현한 ㅁㅁ님은 core님입니다.

• reversecore 2010/09/30 18:45 댓글주소 | 수정 | 삭제

  ^^ 네 제가 그님(?) 맞습니다.
  
  봉이님께서는 혹시 저를 아시는 분인가요?
  너무 친숙하게 물어보셔서요~ ^^
  (비밀 댓글로 답해주시면 됩니다.)

비밀댓글입니다

• reversecore 2010/10/03 23:07 댓글주소 | 수정 | 삭제

  안녕하세요.~
  
  네, 그러셨군요. ^^
  
  리버싱을 공부하고 싶으시다는 열의가 느껴집니다.
  
  죄송하지만 강의 자료를 제공해 드릴 수는 없습니다. (제가 작성한 거라도 불가능합니다.)
  
  그 대신 공부하시다가 막히시는 부분이 있을때 질문 올려 주시면 제 능력껏 답변 달아 드리겠습니다.
  
  감사합니다.

안녕하세요.
처음 인사드리는 김종현입니다.
테스트중 이상한 현상이 있어 문의 드립니다.

아래와 같이 정말 간단한 DLL을 만들어 Injection하였는데
이상하게 iexplore의 자식 프로세스들에서는 ::CreateFile()로
파일이 생성되지 않는데
그 이유가 심히 궁금하고
해결방법에 대하여 고수님들께 조언을 구합니다.

#include "stdafx.h"
#include <stdio.h>
#include <tchar.h>

/////////////////////////////////////////////////////////////////////////////
// _Inject

class _Inject
{
public:
static BOOL IsValidModule(LPCTSTR module_name)
{
static LPCTSTR valid_module_name_list[] =
{
//_T("notepad.exe"),
_T("iexplore.exe"),
NULL
};
for (int i=0; valid_module_name_list[i]; i++)
{
if (!_tcsicmp(module_name, valid_module_name_list[i])) return TRUE;
}
return FALSE;
}
}; //_Inject

static BOOL IsValidCurrentModule()
{
TCHAR full_name[MAX_PATH];
HMODULE module_handle = ::GetModuleHandle(NULL);
::GetModuleFileName(module_handle, full_name, MAX_PATH);
TCHAR* module_name = full_name;
for (int i=0; full_name[i]; i++)
{
if (full_name[i] == '\\') module_name = full_name + i + 1;
if (full_name[i] == '/') module_name = full_name + i + 1;
}
if (!_Inject::IsValidModule(module_name)) return FALSE;
LPCTSTR file_name = _T("c:\\zzz.txt");
HANDLE file_handle = ::CreateFile(file_name, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
if (file_handle != INVALID_HANDLE_VALUE) ::CloseHandle(file_handle);
else
{
TCHAR text[256];
_stprintf(text, _T("ERROR: Cannot create file \"%s\"!!!\nPID: %d"), file_name, ::GetCurrentProcessId());
::MessageBox(NULL, text, module_name, MB_OK);
}
return TRUE;
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
if (IsValidCurrentModule())
{
}
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}

EXTERN_C __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
{
return CallNextHookEx(NULL, code, wParam, lParam);
}

• reversecore 2010/10/04 00:14 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  iexplore.exe 의 자식 프로세스라면...
  7 버전 이후의 탭으로 생성되는 서브 프로세스를 말씀하시는 건지요?
  
  제 경우에는 정상적으로 c:\\zzz.txt 파일이 생성되었습니다.
  (WinXP SP3 & Win7)
  
  혹시 다른 경우를 말씀하시는 거라면 다시 질문 올려주세요~ ^^
  
  감사합니다.

• 김종현 2010/10/04 12:22 댓글주소 | 수정 | 삭제

  테스트해 주셔서 감사합니다.
  그런데 정작 중요한 환경을 알려 드리지 않았네요.
  제가 테스트한 IE는 버전8이고
  말씀하신데로 탭으로 생기는 서브프로세스에서는
  전부 문제가 발생하고 있습니다.
  유독 부모프로세스만 문제 없구요.
  
  정확한 정보는 gmail로 다시 보내드리니
  IE8에서 다시 한번 더 봐 주시길 부탁드립니다.

• reversecore 2010/10/05 21:21 댓글주소 | 수정 | 삭제

  네, 제 테스트 환경과 동일하시네요~
  
  전 보통 최신 .NET Framework 가 설치되지 않은 환경에서의 실행을 보장하기 위해 /MT 옵션으로 빌드합니다.
  
  제가 테스트한 파일을 김종현님 email 로 보내드릴테니 한번 실행해 보시고 결과를 알려 주시기 바랍니다. ^^
  
  * 보안 프로그램등에서 차단당하는 경우도 있으니 참고하시기 바랍니다.
  
  감사합니다.

안녕하세요 :D
계속해서 좋은글을 많이 올려주셔서 제가 기초가 부실한 부분들이 있었는데
많은 도움을 받고 있습니다.
그리고 정말 자세하게 설명하셔서 너무나도 많은 도움이 되고 있구요.
이렇게 좋은 자료들을 열정적으로 공개해주셔서 너무 감사드립니다.

힘내시라고 감사에 글을 적어봤습니다. ㅎㅎ

• reversecore 2010/10/05 21:04 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  칭찬에 감사드립니다. ^^
  
  종종 방문해 주세요~

비밀댓글입니다

• reversecore 2011/02/18 22:10 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  아주 멋진 크랙미 사이트를 만드셨군요~
  
  구경 잘 했습니다.
  
  제 경우에 블로그 홍보를 따로 해본 적은 없습니다. ^^
  
  이곳에 방문 하시는 분들은 대부분 google 과 naver 검색으로 찾아오시는 분들입니다.
  
  감사합니다.

• 2011/02/18 23:02 댓글주소 | 수정 | 삭제

  비밀댓글입니다

비밀댓글입니다

• reversecore 2011/09/03 14:28 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  비슷한 시간에 디버거를 만드신 다는 질문이 여러개 등록되어있군요. ^^
  
  OllyDbg 정도의 범용 디버거는 매우 높은 수준의 개발 실력과 시스템에 대한 이해가 필요하다고 생각하시면 됩니다.
  
  다만 특정 상황에서만 간단히 사용한다면... (Disassembler 도 필요없고 GUI 도 필요없고... 단순한 명령어만 디버깅한다고 했을때... ) 개발 난이도는 상당히 낮출 수 있습니다.
  
  커널 디버거는 저도 아직 어떻게 만들어야 할지 어렴풋이 감만 잡고 있는 수준입니다. ^^~
  
  감사합니다.

안녕하세요? ^-^
책 원고가 완성되었다고 하셨는데.. 개인적으로. 가능하다면.
Immunity Debugger 에 대해서도 설명을 넣으면 좋을것 같습니다 :)
제가 알기로 OllyDbg 를 만들던 분이 Immunity 로 이직하시면서 Python 기반으로 개발하신걸로 알고 있습니다. 물론 무료입니다 :)
http://debugger.immunityinc.com

수고하세요~

• reversecore 2012/01/11 07:53 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  Immunity Debugger 의 python 스크립트는 아주 좋습니다. 저도 많이 써봤지요.
  
  근데 OllyDbg 개발자는 다른 직업이 있고 그냥 취미로 OllyDbg 를 만든걸로 알고있는데요.
  
  Immunity Debugger 는 그냥 OllyDbg 클론이구요. 제가 잘 못 알고 있나요?
  
  감사합니다.

이뮤니티 디버거 같은경우 올리디버거와 같지만 디버거 자체의 라이브러리가 좋다고 말할수 있을거 같아요. 거기다 파이썬 코드로 스크립트 가능하니까 윗분은 뭐 그런 부분을 집어 달라는게 아닐까요?

정말로 잘보았습니다 ㅎ

• reversecore 2010/07/10 14:29 댓글주소 | 수정 | 삭제

  감사합니다~ ^^

정말 좋은 포스팅 감사합니다 ^^
코드 인젝션을 체계적으로 정리해볼수 있어서 너무 갚지네요.. ^^
감사합니다~!

• reversecore 2010/07/10 14:29 댓글주소 | 수정 | 삭제

  네~ 질문 있으시면 올려주세요~
  감사합니다.

한번 꼭 다 봐야지 봐야지..하면서...계속 미루다가..방학이라서..
매일보고 있습니다..ㅎㅎ (analysis..부분만..거의 다 본듯..)

이렇게 좋은 자료를..날로 먹는거 같아서....

암튼..너무 감사합니다...

• reversecore 2010/07/28 16:53 댓글주소 | 수정 | 삭제

  땅콩님, 방문 감사드립니다. ^^

비밀댓글입니다

• reversecore 2010/08/01 22:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  비도덕적이고 불법적인 내용이 아니라면 제가 작은 도움을 드릴 수 도 있습니다.
  
  관련된 질문 있으시면 올려주세요~
  
  감사합니다.

비밀댓글입니다

• reversecore 2010/08/04 20:43 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  PE Viewer 제작이야 말로 PE Header 공부의 완성판이라고 할 수 있지요. ^^
  
  제가 예전에 Assembly 로 개발한게 있긴 한데요... 소스를 공개할만한 수준은 아니라서요...
  
  그때 저는 Microsoft 의 Dumpbin 유틸리티를 참고해서 콘솔버전으로 만들었습니다.
  
  다른 소스는 가지고 있는게 없네요~
  
  요령이라고 할것도 없지만...
  그냥 편하게 Dumpbin 이나 PEView 같이 기본적인 정보를 나열하는 식으로 만드시면 됩니다.
  
  dbghelp.dll 에 기본적인 API 함수가 지원되기는 하지만 그보다는 파일 매핑을 사용해 직접 구현하시는 방법을 추천드립니다.
  (기본적인 구조체는 winnt.h 에 잘 정의되어 있구요...)
  
  감사합니다.

8월 마소 강좌 코드 인젝션에 이끌러 이 홈페이지까지 왔다가 잘 보고 갑니다. 감사합니다~

• reversecore 2010/08/04 20:43 댓글주소 | 수정 | 삭제

  방문 감사드립니다. ^^

안녕하세요 ..공부하다가 막히는 부분이 있어서 .글을 올립니다.

사실은 데브피아에 글도 올려봤는데..답변이..없어서...이렇게 실례를 무릅쓰고...ㅜㅜ

요즘 디바이스를 공부중에 잇는 학생입니다.



ssdt 후킹을 해서 계산기를 프로세스를 종료를 못하게 했습니다..

(zwterminateprocess를 후킹했습니다..)



그런데..sdtrestore라는 http://www.security.org.sg/code/sdtrestore.html 여기서 받은걸로는 탐지를 못하는데

(sdtrestore의 원리는 ntoskrnl.exe에서 정보를 바로 읽어온다고 알고 있는데....)



하지만....icesword는 탐지를 했습니다..요 방법이 아주 궁금해서 글을 올립니다..



과연 icesword의 탐지 방법을 무엇인지......



답변 부탁드립니다. ㅎㅎ



(제 실행환경은 xp에 sp3 입니다.

• reversecore 2010/08/09 11:31 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  후킹 탐지 방법은 후킹 방법처럼 무수히 많이 있답니다.
  
  저도 icesword 를 본적이 있습니다. 세부 동작 원리까지는 자세히 모르지만 매우 치졸한(?) 방법을 많이 사용했을 것입니다. ^^
  
  무슨 뜻이냐면... 후킹 탐지 되지 않기 위해서 별의별 기발한 기법들이 동원되는데요... 이를 탐지하는 입장에서도 똑같이 희안하고 무식하지만 확실한 (full scan 같은) 방법들을 동원하는 것입니다.
  
  커널 후킹은 고급주제이며 향후 제 블로그에 자세히 다룰 예정입니다.
  
  감사합니다.

옙..답변 감사드립니다..........원리를 분석하고 싶은데..아직 내공이 너무 부족하네요..ㅜㅜ

빨리 블로그에서 글을 보았으면..좋겠습니다..ㅎㅎ

수고하세요..ㅎ

• reversecore 2010/08/24 22:08 댓글주소 | 수정 | 삭제

  네, 유저 모드 디버깅 설명을 완료하면 커널 모드 디버깅을 설명할 예정입니다. 감사합니다.

안녕 하세요!
저두 마소에서 관련글보다 여기 왔는데, 정말 글을 잘쓰시는 거 같아요!
코드인젝션편 보면서 그림과 올리디버거 사용방법등이 적절하게 나와 이해하기 좋았습니다.
앞으로도 좋은 내용 기대할게요 ^^

• reversecore 2010/08/24 22:08 댓글주소 | 수정 | 삭제

  재밌고 유익한 내용을 많이 올리도록 하겠습니다.
  
  감사합니다.

전 코드 인젝션에 대해 전혀 모르던 학생입니다ㅎㅎ
dll 로딩 원리를 알고싶어서 구글링 하다가 우연히 봤는데 왜이렇게 재밌게 보이는지..!!
요즘은 영상처리쪽 공부중인데요ㅎ 공부할 마음없었는데 기회되면 이분야도 해보고 싶네요!ㅋ
책도내신것같은데 꼭 봐봐야겠습니다
#덧, 좋은글 올려주셔서 감사합니다

• reversecore 2011/07/14 05:57 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  리버싱 분야도 매우 흥미있답니다.
  
  방문 감사드립니다. ^^~

좋은 글 감사합니다. 항상 잘 배우고 있습니다.
전 그동안은 코드 인젝션 할땐 DLL 인젝션과 병행 해서, 인젝션 코드에서 DLL의 함수를 call 하도록 간단하게 만들었었는데, 이렇게 함수 코드를 직접 집어넣는 방법도 괜찮네요.

• reversecore 2010/07/03 14:56 댓글주소 | 수정 | 삭제

  네, 상황에 맞게 적절히 선택해서 사용하시면 되는데요.
  보통은 DLL Injection 이 많이 쓰입니다.
  
  Code Injection 을 소개하는 이유는 리버싱에 대해 좀 더 깊이있는 공부를 해보자는 뜻입니다.
  
  감사합니다.

항상 감사합니다.

• reversecore 2010/03/01 23:31 댓글주소 | 수정 | 삭제

  철이님, 방문 감사합니다. ^^
  
  제가 가끔 댓글을 놓칠 때가 있네요...

잘 보고 있습니다!!

혹시 책으로 언제쯤 발간하실 예정이신가요?~

너무 기대되네요!!

• reversecore 2010/03/01 23:32 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  제 책을 기다리시는 건가요? ^^
  
  목표는 금년내에 출판하는 것입니다.
  
  감사합니다.

와 출간 계획이 있으셨군요. 빨리나오기를.. ^^

• reversecore 2010/03/11 22:14 댓글주소 | 수정 | 삭제

  L4c0님, 안녕하세요.
  
  책쓰는게 정말 쉬운일이 아니라는걸 느끼고 있답니다.
  
  기술 서적을 쓰시는 분들은 정말 존경합니다. ^^
  
  감사합니다.

InjectDll 함수에서
hThread를 왜 선언만 하고 바로
CloseHandle하셨는지요??

• reversecore 2010/03/22 09:32 댓글주소 | 수정 | 삭제

  허훈님, 안녕하세요.
  
  제 실수입니다.
  좋은 지적 감사합니다. ^^
  얼른 고쳐야 겠네요~
  
  감사합니다.

항상 좋은 글 감사합니다.
정말 많이 배우고 있습니다.
Window 7 DLL Injection을 실습중인데, 설명하신대로 잘 되지 않아서 문의드립니다.
일단 Session 0이 아닌 것은 잘 됩니다. 그런데 Session 0일경우는 새로운 방법도 에러가 나고요.
것도 CreateRemoteThread가 아닌, OpenProcess에서 나고 있습니다.
그리고 "The token does not have the specified privilage"라는 메시지도 뜨고요.
무엇이 문제일까요?
오늘도 좋은 하루 보내세요~

• reversecore 2010/05/27 01:33 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  가령 session 0 의 svchost.exe 에 인젝션 시도하면 OpenProcess() 에서 에러가 발생한다는 말씀이시죠?
  
  제 경우에는 7 - 32bit 버전에서는 문제가 없고, 64bit 버전에서는 NtCreateThreadEx() 에서만 에러가 발생합니다.
  
  사용하시는 OS 버전, 인젝션 시도하는 프로세스명 등을 알려주시면 답변에 도움이 될것 같습니다.
  
  감사합니다.

• 아이졸려 2010/05/28 11:48 댓글주소 | 수정 | 삭제

  문제는 Windows 7 UAC인것 같습니다.
  지금 자세히 그림을 보니, 명령어창을 관리자 권한으로 여셨네요.^^
  저는 일반 사용자 권한으로 열어서 실행하다 보니 이런 문제가 생긴 것 같습니다.
  그런데 일반 사용자모드에서 관리자 권한으로 상승시키고 DLL Injection을 할 수는 없는 것인지 궁금합니다.
  좋은 답변 감사드립니다.
  오늘도 즐거운 하루보내세요.

• reversecore 2010/05/31 09:35 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  아~ 그랬군요.
  UAC 를 평소 끄고 사용하는지라 생각도 못하고 있었습니다.
  그리고 전 항상 관리자로만 접속합니다.
  
  그런 부분에 대해서는 미처 고려해보지 않았네요.
  소중한 정보 감사드립니다. ^^
  
  그리고 Windows XP/7 에서는 로그인 유저마다 고유 Session 이 있기 때문에 일반적으로는 다른 Session 의 프로세스에게 DLL Injection 시킬 수 없습니다.
  
  강제로 권한을 상승 시킨후 DLL Injection 을 하면 어찌 될지 모르겠네요. (제가 요즘 차분히 앉아서 테스트를 할 수 있는 상황이 아니라서요... ㅠㅜ 제 대신 해주시면 매우 감사 하겠습니다.)
  
  감사합니다.

안녕하세요, Reversecore님의 강의는 항상 감사하게 잘 보고 있습니다 :D

다름이 아니라, XP나 7 32bit 에서는 성공했는데

64bit에서 NtCreateThreadEx 에서 권한이 없다면서 실패하고 있습니다

위 덧글을 보면 저만 그런게 아닌 모양인데요

혹시 원인을 발견하셨는지 여쭙고 싶어서 댓글 답니다

32bit 와 64bit 정책 적용 방식이 다를거 같진 않은데

권한이 없다고 뜨는건 의외네요

물론 관리자 권한으로 실행도 해봤지만 같은 증상이 뜹니다

• reversecore 2010/06/14 23:58 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  네, 64bit 에서 잘 안된다고 하신분들이 계신데요.
  
  제가 64 bit OS 를 설치해서 테스트 해본 후 답변드리겠습니다.
  
  감사합니다.

• LinkC 2010/08/03 19:30 댓글주소 | 수정 | 삭제

  계속 미루다 64bit injection 을 해봤습니다
  
  32bit process 에서는 32 bit dll만
  
  64bit process 에서는 64 bit dll 만
  
  injection이 가능하더군요
  
  64bit os라고 64bit process만 돌아가는게
  
  아니니까 , global api hooking 을 하고자 할때는
  
  64bit용, 32bit 용으로 나눠
  
  32bit injection program, 32bit dll
  
  64bit injection program, 64bit dll
  
  이렇게 제작해야 올바르게 작동하는 걸 확인했습니다 :D

• reversecore 2010/08/04 20:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  와~ 좋은 정보 감사합니다. ^^
  저도 64 bit 를 더 공부한 후 테스트 해보겠습니다.
  
  감사합니다.

안녕하세요...

강의내용 잘 보았습니다. 저 헌데 csrss에 전혀 inject되지 않는 이유가 무얼까요? 제 체계는 Win7입니다. inject success통보문 뜨는데도 되지 않거던요..
의견 부탁드립니다.

• reversecore 2011/05/13 20:23 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  csrss.exe 프로세스는 시스템 핵심 프로세스로서 DLL Injection 을 안하는 것이 좋습니다.
  
  위 포스트의 InjectDll.exe 에는 버그가 있어서 csrss.exe 에 인젝션 성공했다고 나타나지만 실제로는 실패한 것입니다.
  
  http://www.reversecore.com/76 <- 여기서 제공되는 InjDll.exe 를 사용해 보시면 실패라고 정확히 나타납니다.
  
  아래 API 호출 중 한 군데에서 에러가 발생합니다.
  
  OpenProcess(), VirtualAllocEx(), WriteProcessMemory(), CreateRemoteThread()
  
  감사합니다.

잘 계시죵?

오홀~ 이런것까정 해 보셨다니.. 써프롸이즈~

smss.exe 에 인젝션 해보니.. 시스템이 퍽~하며 재부팅하는군요

시스템 프로세스는 화이트 리스트로 빼 주는 기능도 추가해야 되겠군요

좀 더 좋은 정보를 위해서 멀티스레드 환경에서는 JMP 패치시에 코드 크래쉬가 일어날 수 있는데

윈도우의 핫패치 방법을 이용하는것도 간단히 소개해 주신다면.. 다른 분들께서

더욱 많은 도움이 될 듯 합니다..

그럼 이만.. 총총~

• reversecore 2011/10/28 01:07 댓글주소 | 수정 | 삭제

  안녕하세요. 잘 지내고 있답니다. ^^
  
  네, 개념 이해용 예제 코드 말고 상업용 프로그램에 사용할 수 있는 전문 DLL Injection 강좌도 기획하고 있습니다.
  
  제 예제 코드를 현업에서 사용하시는 분들이 꽤 많으시더군요. 좀 더 안정적인 코드를 제공해 드려야 할 것 같아요.
  
  조만간 책이 완료되면 다시 블로그 작업을 진행할 계획입니다.
  
  감사합니다.

잘 보고 갑니다~

정리 완전 잘 하셨네요 ㅎ

블로그에 소중한 정보들 잘 보도록 하겠습니다.!

질문이 있습니다!!!제가 OS관에서 완전 초보인데,,,

SetPrivilege(SE_DEBUG_NAME, TRUE);

// InjectDll.exe <PID> <dll_path>
if( argc != 3 )
{
printf("usage : %s <PID> <dll_path>\n", argv[0]);
return 1;
}
이부분 까지 시행이 되고
"usage:argv[0]문이 실행이 되고 되고 그이후 명령문
if( !InjectDll((DWORD)atoi(argv[1]), argv[2]) )
{
printf("InjectDll() failed!!!\n");
return 1;
}
등이 실행이 안되는데 왜그런걸까요??

choiks님
안녕하셰요.
글 보고 싱크되는것 있어 보니 printf다음에 return이 있어 그러는것 같아요.

그래도 안되네여... 제가 정말 왕초본데 ㅠㅠ
if( argc !=3)
{
printf("usage : %s <PID> <dll_path> \n",arg[0]);
return 1;
}
여기 까지 실행이 되서
usage : DllInjgection.exe <PID> <DLL_PATH>
이런 문장이 나오는데 PID랑 DLL_PATH를 어떡해 설정해 주면 될까요??

아그리고 cmd명령오로 제가 컴파일해서 생성한 DLL_Injection.exe를 쳤더니 내부 또는 외부 명령, 실행할수있는 프로그램,또는 배치 파일이 아닙니다 라고 뜨네요 ㅠ.ㅠ

안녕하세요.
아그멘트값설정하는것이지요.
컴맨드프롬프트창에서 EXE의 파일경로를 주어야되는데 예를 들어 "D:\test\Dllinjection.exe"라고 주고 space건을 누르고 계속해서 인젝션시킬 프로세스 아이디를 주어야지요.
PID는 taskmanager에서 볼수 있지요.
Next로서 DLL_PATH값을 앞에서 처럼주면 되요.
예제로 "C:\test\Dllinjection.exe" 5764 "C:\test\Me.dll"
안녕하세요.

안녕하세요!^^ 정말 왕초보인데 64bit 에서 64 bit 컴파일 해서

인젝션 성공 메세지까지 받았어요 . 그런데 process explorer 에서 dll을 검색하니까 검색이 안되요

인젝션에 성공하면 dll 검색하면 인젝션된 프로세스들이 나와야 하는데 안나와요.

어떻게 된건지 모르겟어요.ㅠㅠ 고수님들 도와주세요! ^^;

안녕하세요.
덕분에 모든 32비트환경에서 잘작동하는거 확인했어요 ㅎㅎ.
하지만 윈7 64비트는안되는데
윗분님들 말씀보시니 64비트 환경에서 컴파일해야하는데
64비트를 따로 깔수가없는 환경이라 그런데 다른방법은 없나요 ㅜㅠ?

• reversecore 2011/11/18 20:43 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  제가 올려놓은 InjDll.exe 64bit 용을 써보시기 바랍니다.
  
  감사합니다.

dll injection 시켜서 인젝션 당한 프로그램을 렉걸리게 하고싶은데 어떻게하지요?
1초정도 정지시키거든
1초정도 순간 렉을 발생시키고 싶은데
sleep 쓰면 dll에만 적용되고 프로세스에는 적용이 안되서...
어떻게 소스를 짜면될까요?>

• reversecore 2011/11/18 20:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  Target 프로세스의 실행을 방해하신다구요? 악성코드 수준입니다. ^^~
  
  실행중인 모든 스레드를 SUSPEND 모드로 바꿔버려도 되구요... 아니면 무한루프 스레드를 1000개쯤 만들어 버리세요. 엄청난 과부하가 걸릴정도로요...
  

안녕하세요~
강의 보다가 궁금한 점이 있어서 이렇게 질문드립니다.

((PFNTCREATETHREADEX)pFunc)(인자값....);

: 위에 보면요 ntcreatethreadex 의 주소값을 다시 함수 형변환하는데요~

왜 형변환을 해줘야 하는건가요?

그리고, CreateSuspended 값 0x1fffff 로 바꿀때

함수만 호출해서 저렇게 형변환 해서 바꾸면 되는건가요?

저 부분이 헷갈리네요 ㅜㅠ

너무 초보라서 아무리 찾아도 모르겠습니다.

조언 좀 부탁드립니다.

수고하세요~

• reversecore 2012/01/11 07:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  형변환은 C 언어의 특징이고요.
  컴파일 에러를 피하기 위해서 넣어주는 겁니다.
  개발자를 돕기 위해서 저렇게 엄격한 타입 체크를 해주는 거랍니다. 고마운거죠.
  
  어셈블리라면 형변환 자체가 필요없습니다. 다만 모든 책임은 개발자가 지는 것이죠. 어디서 에러가 발생했는지 찾는게 매우 까다롭죠. ^^
  
  감사합니다.

앗 1등!!!
선리플 후 감상 입니다!!!

• reversecore 2010/02/23 01:50 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  1등 감사합니다. ^^

좋은 정보 감사합니다!!

• reversecore 2010/02/23 01:50 댓글주소 | 수정 | 삭제

  비셔스님, 안녕하세요.
  
  유용한 정보가 되었나요?
  
  감사합니다.

정말로 실력이 부럽습니다..........
ㅜㅜ 언제쯤 이런 강의를 적을수있을가요 ㅜㅜ

• reversecore 2010/02/23 01:51 댓글주소 | 수정 | 삭제

  철이님, 안녕하세요.
  
  칭찬하시는 거죠? ^^
  
  감사합니다.

당연히 칭찬이죠 ㅜㅜ 존경 ㅜㅜ

• reversecore 2010/02/24 01:10 댓글주소 | 수정 | 삭제

  ^^ 감사합니다.

저도 강의보고 놀래고있습니다..
어떻게 저렇게 설명을 저는 죽었다 깨어나면 할라나요.^^

• reversecore 2010/02/24 01:11 댓글주소 | 수정 | 삭제

  upx님, 안녕하세요.
  
  오늘 다들 왜 이러실까요? ^^
  
  감사합니다.

음,, 저는 일단 2가지 방법을 수행해도 절대 성공하지 않는군요

과정은 똑같지만 결과가 다르게 나오네요.

좀더 분석해봐야겠습니다.

• reversecore 2010/03/22 09:29 댓글주소 | 수정 | 삭제

  허훈님, 안녕하세요.
  
  위의 설명대로 해도 잘 안되셨나 보네요.
  
  각 API 의 리턴값과 에러 코드를 확인해서 저에게 알려주시면 저도 좀 확인해 보겠습니다.
  
  감사합니다.

안녕하세요 reversecore님^^
Vista나 Win7의 경우 최근에는 64bit OS를 많이 사용하고 있는데요.
이 경우 dll injection 시 고려해야 할 점은 뭐가 있을까요?
좋은 글 감사합니다~

@저는 어플 개발만 10년 했는데 low level을 공부하면서 다시금 개발에 흥미를 느끼고 있는 프로그래머입니다 :)

비밀댓글입니다

• reversecore 2011/09/19 20:13 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  ZwCreateThreadEx() 의 함수 파라미터를 문의하시는 것인가요?
  
  
  DWORD ZwCreateThreadEx
  (
  PHANDLE ThreadHandle,
  ACCESS_MASK DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  HANDLE ProcessHandle,
  LPTHREAD_START_ROUTINE lpStartAddress,
  LPVOID lpParameter,
  BOOL CreateSuspended,
  DWORD dwStackSize,
  DWORD dw1,
  DWORD dw2,
  PUNKNOWN pUnknown
  );
  
  이걸 참고하시기 바랍니다.
  
  
  감사합니다.

기대기대

• reversecore 2010/02/21 11:36 댓글주소 | 수정 | 삭제

  eew님, 안녕하세요.
  
  방문 감사합니다. ^^

정말로 많이 배웁니다. 빨리 연재 해주세요..;

• reversecore 2010/02/21 11:37 댓글주소 | 수정 | 삭제

  철이님, 안녕하세요.
  
  네~ 다음 글 빨리 올리도록 하겠습니다.
  
  감사합니다.

dll injection 관련해서 새로운 글이 올라왔군요~!
자주 컴터를 할 수 없어서 감이 팍팍 떨어지는데, 오랫만에 다시 코딩을 해봐야겠네요

좋은 자료 잘 보고 갑니다 :)

• reversecore 2010/02/21 11:38 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  조금만 해보시면 감은 금방 회복 될겁니다. ^^
  
  감사합니다.

이번 과제로 dll injection이 나왔는데 너무 어렵네요..ㅠㅠ

어떤 실행파일을 실행하면 20초후에 어떤 주소값이 나오는데 그 주소에는 멀티쓰레드를 이용하여 만들어진 어떤 문자열이 저장되어있대요..

저장된 문자열을 탈취하여 확인하기위해 실행중인 다른 process에 thread를 생성하여 dll을 injection 하는 공격으로 문자열을 확인하는 건데..

위에 설명을 참고해서 짜면되겠..........ㅈ..요..? ㅠㅠㅠㅠㅠㅠㅠ

안녕하세요^^ 이쪽에는 초보입니다.

64bit win7 에서 64bit 로 컴파일햇는데 에러 코드 1300 이 나와요 ㅠㅠ

도와주세요!

정말 재밌게읽었습니다.... 아래서 부터 읽고 올라오다보니 새로운글이있네요 ㅎ 시간가는줄모르고 읽었습니다. 리버싱에 관심갖고 리버스엔지니어링비밀을파헤치다 책을 샀는데 초심자에게는 어려운중급책이더군요.. 그래서 실망하고있던차에 이렇게 좋은 사이트를 찾게되어서 너무기쁩니다 ^^

• ReverseCore 2009/11/27 14:31 댓글주소 | 수정 | 삭제

  김대성님, 안녕하세요.
  재밌게 읽으셨다니 감사합니다~
  자주 들러 주세요~

요즘... 낮생활로 바꿔가고 있어요 ㅠ_ㅠ... 1등은 힘드네요..ㅎㅎㅎ
항상좋은 자료감사합니다~..~ 저도 블로그 만들었어요 .. ㅋㄷ

• ReverseCore 2009/11/27 14:32 댓글주소 | 수정 | 삭제

  냥냥님, 안녕하세요.
  낮생활이 좋은 겁니다. ^^

항상 재미있는 글 감사합니다 '-'/

다음 글도 기대하고 있습니다 +_+(번뜩)

• ReverseCore 2009/11/27 14:33 댓글주소 | 수정 | 삭제

  Sun2Day님, 안녕하세요.
  다음글 기대하셔도 좋습니다. ^^
  감사합니다.

아 맨날 늦어 -_-; 오늘도 한주의 시작은 이걸로 시작합니다 ㅎㅎ
주인장님 어서 이 내용들로 책 내주세요~ 너무 잘 나와있는데..많은 이들에게 도움이 될 거 같아요~

• ReverseCore 2009/12/01 12:43 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  조언 감사합니다. ^^

아 그런데 궁금한게 있습니다.
rand 같은경우는 IAT에 포함되어 있지 않더라구여..
detour에서도 찾질 못하는데, rand 같은 api는 어떻게 찾아서 후킹해야 할까요..
메모리에 call 되는부분 주소를 수동으로 직접 알아서 코드 패치 할 순 있지만, 범용적이지 않은 것 같구..

범용적으로 rand 를 후킹할 방이 있을까요?

rand 쓰는 테스트 프로그램에 아래와 같이 rand의 주소를 얻어모면 정상적으로 얻어오는데...
static int (WINAPIV * TrueRand)(void) = rand;

dll에 위 주소를 얻게하고, rand 테스트 프로그램에 삽입하면, 엉뚱한 주소가 나오네요-0-

• ReverseCore 2009/12/24 02:14 댓글주소 | 수정 | 삭제

  mAn1aS님, 안녕하세요.
  
  IAT 에 없는 API 를 후킹하는 방법은 지금 진행되고 있는 강좌 - "API Hooking - '스텔스' 프로세스" 를 참고하시면 될것 같습니다.
  
  API 시작 코드를 직접 패치하는 방식입니다.
  
  msvcrt!rand() API 를 후킹 하시면 되겠네요.
  
  그리고 API 주소를 얻을 때는 GetProcAddress() 를 이용하시면 됩니다.
  
  다른 질문 있으시면 올려주세요~
  
  감사합니다.

이번에도 제가 1등인가요..?! > <// ㅎㅎ
항상 감사합니다~

• ReverseCore 2009/11/10 22:35 댓글주소 | 수정 | 삭제

  냥냥님, 잠을 안주무시는듯~ ^^

2등이군요.

이런데서 등수놀이 할 줄이여 -.-;;

text 로만 보면 어려울 수 있는 내용을 그림과 함께 잘 설명해 주셔서 감사합니다 ^^

• ReverseCore 2009/11/10 22:36 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  등수놀이... ㅋㅋ

안녕하세요!@ 이승철입니다.

다름이 아니라 리플을 읽어 보니깐 오프라인 강의나 책을 출판 하신다고 하시는데

혹시 어디에 사세요? 서울 사시나요? 전 부산이라서 ㅜㅜ

출판 하게 되신다면 윤성우강사님처럼 친철한 강의 원하는데

• ReverseCore 2009/11/10 22:39 댓글주소 | 수정 | 삭제

  이승철님, 안녕하세요.
  
  전 서울입니다. ^^
  
  출판, 강연은 아직 먼 미래의 일이구요...
  
  음... 저도 친절하고 싶어요 ^^

굿

• ReverseCore 2009/11/10 22:39 댓글주소 | 수정 | 삭제

  safscx님, 안녕하세요.
  도움이 되셨나요?
  자주 들러주세요~

비밀댓글입니다

• reversecore 2009/11/12 10:34 댓글주소 | 수정 | 삭제

  메일로 답변 드렸습니다.

우와...

리버싱 공부 시작한지 이제 3일된 초보자 입니다....

관련 자료들 찾던중...이렇게 재미있고 괜찮은 강좌가 있눈 사이트를 발견한게

정말 행운이라고 생각합니다!!!! 아직 초보라 강좌 내용은 잘모르지만..

그래도!! 1시간 가량 정말 잼있게 읽었습니다..ㅎㅎㅎ

앞으로도 자주 들러볼께요!!

좋은 강좌 많이 해주세용 ㅋㅋㅋ

• reversecore 2009/11/12 10:36 댓글주소 | 수정 | 삭제

  뿡뿡이님, 안녕하세요.
  
  방문 감사합니다.
  
  자주 들러주세요~

참 잘 보고 있습니다.. 지금 시작이지만 좋은 공부가 될거 같네요

• reversecore 2009/11/12 10:36 댓글주소 | 수정 | 삭제

  부자봉스님,
  
  리버싱 공부 재밌게 하시기 바랄께요.
  
  감사합니다.

일일이 답변주시고 감사합니다

정성껏 작성하신 글 잘 봤습니다. 감사합니다~
앞으로도 계속 도움이 될거 같네요. 후킹은 첨이라서 얼떨떨하네요.

• reversecore 2010/01/21 01:32 댓글주소 | 수정 | 삭제

  쭈욱님, 안녕하세요.
  
  메시지 후킹으로 개념을 잡으시고 API 후킹을 공부하시면 좋을것 같습니다.
  
  http://www.reversecore.com/30
  
  위 글을 참고하세요~
  
  감사합니다.

후킹... 다른 글은 어려운 말로 나를 괴롭혔는데...
여기 글 보고... 한번 해봐야겠다는 의욕이 생기네요 ^^
좋은 감사합니다.

• reversecore 2010/02/19 23:52 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  제 글을 읽고 의욕이 생기셨다니 기쁘네요. ^^
  
  후킹을 공부하시다가 질문이 있으시면 올려주세요~
  
  감사합니다.

정말 글을 잘 읽고 있습니다 ^^ 넘넘 감사드리구요..
눈으로만 보다가 실제로 해보니 궁금한 점이 생겨서 질문을 들려요..
만약 칠. -> HEX code로 바꿀때.. 다른 툴을 쓰시는 건지 아님 OllyDbg를 쓰시는건지 ^^;;
넘 기본적인 질문인가요?? OllyDbg를 첨써봐서 ^^
지금 열심히 따라하고 있습니다 ㅎㅎ..

• reversecore 2010/03/28 00:06 댓글주소 | 수정 | 삭제

  시간의흔적님, 안녕하세요.
  
  OllyDbg 는 아니구요.
  예전에 프로그래머로 일할때 이미 알고 있던 내용입니다.
  
  간단히 VC++ 에서 아래와 같이 프로그래밍하신 후 디버깅 하시면 해당 값을 알 수 있습니다.
  
  wchar_t wc = L"칠";
  
  따라 하시다가 다른 궁금한 내용 있으시면 질문 올려주세요.
  
  감사합니다.

• Ezbeat 2010/04/11 14:12 댓글주소 | 수정 | 삭제

  저도 그거때문에 고생한 적이 있어요~!
  댓글 보고 바로 프로그램으로 만들어봤어요 ^^;
  
  http://ezbeat.tistory.com/174
  항상 디버거로 열어서 보기 귀찮으시다면.. 써주세요
  ㅜ ㅜㅋㅋ

• reversecore 2010/04/11 23:05 댓글주소 | 수정 | 삭제

  Ezbeat님, 안녕하세요.
  
  답변 감사드리고요,
  좋은 프로그램 만들어 주셔서 감사합니다.

아 그렇군요 ^^ OllyDbg에서 안되길래.. 다른 프로그램을 쓰시는줄 알았습니다.
감사합니다~

• reversecore 2010/03/29 20:14 댓글주소 | 수정 | 삭제

  시간의흔적님, 안녕하세요~
  
  궁금증이 풀리셨나요?
  
  또 방문 해주세요~
  
  감사합니다.

search-무슨무슨 모듈콜 이거있자나요 ㅋ 아무것도안뜨는건 무슨현상이죵 ㅜ

• reversecore 2010/06/29 23:00 댓글주소 | 수정 | 삭제

  음... 질문내용이 잘 이해가 안되는데요...
  OllyDbg 에서 해당 명령을 내리면 아무런 창이 안보인 다는 말씀이신가요?
  해당 윈도우가 작게 숨어있던지 다른 윈도우 밑에 깔려있는것은 아닐까요?

안녕하세요. 작년에 reversecore.com에서 크랙미 리버싱 강좌를 보다가 어셈블리가 어렵고 눈에 안들어와서 접었다가

각종 후킹 방법들을 배우다 보니 다시 이곳에 오게되었습니다. 아직 몇개 읽어보지는 못했지만 이 곳 만큼 자료가 많고 정리 잘 된곳도 없다는 생각이 드네요. 감사드립니다..

사실 처음에 어셈블리만 거의 나오길래 쉽게 포기했었는데 나중에보니까 제 좁은소견으로는 주로 쓰이는 후킹 기법 몇가지만 알아도 제가 원하는 바를 이룰수가 있는 것 같더라구요.(맞나요?)

TCP/IP프로그래밍과 MS에서 출판한 Windows Internals를 보려고 하고 있습니다만 Windows Internals를 보는 것이 리버싱에 좀 도움이 될까요? 고맙습니다..

• reversecore 2011/01/31 12:01 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  칭찬 감사합니다.
  
  Windows Internals 요? 리버서에게 그만큼 좋은 책은 없을겁니다. 끝까지 읽기가 너무 힘들어서 문제이지요.
  
  서점에서 한번 훑어 보신 후에 너무 어렵다고 생각되시면 나중에 실력이 좋아진 후 구입하셔도 될 것 같습니다.
  
  제 주변에 드라이버 개발자들도 고개를 설레설레 젓는 책입니다. ^^
  
  감사합니다.

좋은글 감사합니다.

ㅋ.. 예전에 MUP 자체에 푹 빠져서... 이것저것 풀어보려고 애썼던 기억이 납니다..^^;
요즘에는 MUP 는 거의 시도를 안하고 있는데.. 귀찮은 것도 있지만...
애초에 메모리에 올려버리면 풀린 코드들이 보이니까.. MUP 에 대한 매력이 반감되었다고나 할까요;ㅋ...

ps.. 사실 Themida 라는 거대한 장벽에 가로막힌 후에 흥미를 잃어버린게 컸던거 같아요;ㅋ

• reversecore 2009/09/21 15:25 댓글주소 | 수정 | 삭제

  HS님, 안녕하세요 ^^
  
  네, 맞습니다.
  MUP 할일이 별로 없는게 사실이죠.
  게임 혹은 보안 분야 업무에서나 어쩌다 가끔 하게되지요.
  
  Themida, EXECryptor, SVKP 를 비롯한 많은 Protector 류들은 정말 어려울 뿐더러 분석가에게 너무나 가혹한(?) 노가다를 요구합니다.
  (엄청난 쓰레기 코드, 끝없는 루프, 무지막지한 call depth, 곳곳에 anti-debugging, 그리고 한번 실수하면 다시 처음부터...)
  
  그런데 그게 리버싱의 '재미'인거 같애요.
  시도하고 실패하고의 반복인거죠. ^^

실수로 애자몽님의 댓글을 삭제 해버렸네요. ㅠㅠ
죄송합니다.
(제 댓글을 삭제한건데 왜 애자몽님의 글이 삭제될까요???)

애화몽님 께서 <Fig. 6> 와 설명이 맞지 않다는 문의를 해주셨습니다.

---------------------

올바른 지적 감사드립니다. ^^
제가 다른 그림을 올렸었군요.
지금 수정 하였습니다.

디코딩 코드 찾는 법은 먼저 디코딩 루프를 찾아서 코드 중에 메모리에서 값을 읽어들여 산술연산 후 값을 다시 메모리에 쓰는 코드가 있다면 그곳이 바로 디코딩 코드입니다.
루프내에서 반복적으로 호출될 것입니다.

설명 감사합니다.
'애자몽' ㅠ.ㅠ

• reversecore 2009/09/23 10:35 댓글주소 | 수정 | 삭제

  제가 여러가지로 실수를 하는군요.
  
  애화몽님, 죄송합니다. ^^
  
  OEP 찾기 성공하셨나요?

• 마플 2009/11/02 16:17 댓글주소 | 수정 | 삭제

  애화몽님 안녕하세요~
  마플입니다~~
  
  실례지만 (...);;
  reversecore님 댓글보고 웃어버렷어요 ㅋㅋ
  건승하세요~

• reversecore 2009/11/02 18:36 댓글주소 | 수정 | 삭제

  마플님, 안녕하세요.
  서로 아시는 사인가 봐요? ^^

MUP를 OEP 찾는 요령만 배워서요 ^^;
따라하기식..
과정 이해에 큰 도움이 되는 좋은 강좌 입니다.
감사합니다.

• reversecore 2009/09/23 14:27 댓글주소 | 수정 | 삭제

  네, 제가 찾아봐도 "어디에 BP 걸고 달려라" 식의 글들뿐이었습니다. 원리에 대한 설명은 아직 많이 없더라구요.

네... 알겠습니다.

• reversecore 2009/09/23 14:16 댓글주소 | 수정 | 삭제

• reversecore 2009/09/23 14:25 댓글주소 | 수정 | 삭제

  몇번 그런 요청들이 있었지만,
  제가 다 거절했답니다.
  이해해 주시리라 믿고... ^^

비밀댓글입니다

• reversecore 2009/09/27 23:33 댓글주소 | 수정 | 삭제

  개발 및 리버싱 분야의 업무를 하고 있습니다.
  방문 감사합니다.

어떤 패커인지는 모르겠습니다.
peid가 검출은 못하구요..
올리로 열어보면 글자도 낱개로 보이고 함수도 안보여서 패킹되어있는거같습니다.
mup로 언패킹을 하려고 했는데 리빌더 까지 하면 실행은 안되고
Don't know how to continue because memory at address 73CE1C28 is not readable. Try to change EIP or pass exception to program
이렇게 구문이 나오고 실행이 되지않습니다.
도저히 모르겠어요.. 도와주세요..

• reversecore 2010/08/28 00:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  unpack 을 도와 달라는 말씀이신가요?
  
  해당 파일을 보내주시면 한번 봐드릴께요.
  
  확장자를 exex/dllx 등으로 변경하여 아래 메일 주소로 보내주세요.
  
  reversecore@gmail.com
  
  * 저도 protector 류를 만나면 크게 뾰족한 방법이 없습니다. 몇 달씩 매달리는 수 밖에요... ^^
  
  감사합니다.

안녕하세요 Pe파일 기본부터 지금까지 달려왔습니다
블로그 정말 유익한거같네요^^ 국내에서는 구하기 힘든자료들이 와우 ㅋㅋ

질문은 이렇습니다

이번강좌에서 notepad 의 OEP를 구해서
언팩해봤습니다

그런데... 언팩을 해도 처음의 정상notepad 랑 구조가 다릅니다...헤더랑 섹션이랑 겹쳐잇고...dos stub가 없고..

완벽하게 처음의 notepad 로 언팩 할순업나요..?

• reversecore 2012/01/11 07:44 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  패커의 종류에 따라서 원본과 완벽히 동일하게 할 수 있는 경우도 있습니다.
  
  하지만 대부분은 압축이 풀리고 실행이 가능하다 수준으로 언패킹 하지요. 왜냐하면 원본 파일의 정보를 싹 지우기 때문에 해주고 싶어도 해줄 수 없는 경우가 많거든요. 그리고 안정성 문제 때문에 100% 완벽하게 복구하기는 힘들지요.
  
  감사합니다.

안녕하세요 ㅎ
오랫만에 왔는데 여전하시군요~ 책 축하드립니다 ..ㅋ 아직 이른가요??
군대가서 잘 못들어왔는데 한번에 정독하고 갑니다 ㅎ

• reversecore 2012/01/11 07:42 댓글주소 | 수정 | 삭제

  안녕하세요. redbit 님...
  
  아~ 군복무 중이시군요. 방문 감사합니다. ^^~

안녕하세요 주인장님 새해복 많이 받으세요.
다름이 아니라 obsidium 1.3.0.4로 패킹된 프로그램을 스크립트를 이용해 언패킹중인데
자세한건 http://coolsoft2.com/919634 해당 링크의 글을 읽어주시면 감사하겠습니다. (__) 꾸벅

해당 프로그램의 언패킹 관련해서 파일 제작자이신 twitter.com/a4slayer님의 허락을 받아두었습니다. 가능하시다면 언패킹좀 해주실 수 있는지.,, 파일과 스크립트는 위에 적으신 reversecore@gmail.com로 보냈습니다. 시간 있으실때 봐주시면 감사하겠습니다.
로 보

• reversecore 2012/01/11 07:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  ImpRec 을 이용한 언패킹을 해달라는 말씀이신가요?
  
  ^^ 저는 그런 툴을 이용한 단순 언패킹은 예전부터 거부감이 들어서 사용하지 않습니다. ImpRec 도 한번 구경만 해봤지 쓰는법도 몰라요.
  
  제가 좋아하는건 그 패커의 동작 원리를 이해하면서 디버거로 하나하나 따라가는 것입니다. 중간에 너~무 힘들어서 때려치는 경우도 많구요. ^^
  
  감사합니다.

답장 감사합니다.
제가 쓴글에 어폐가 있었던듯 합니다. imprec로 언패킹을 했으면 하는게 아니라 해당 스크립트에
스크립트를 돌리고 imprec로 iat를 복구하라고 써있어서 써본건대 의사전달에 오류가 있었네요..ㅠㅠ 저 그럼 디버거 툴을 이용하셔서 언패킹을 해주실 수 있으신지 더미다처럼 코드 가상화기술도 들어가 있어서 지금에 제 실력으로는 도저히 못풀겠더군요..
http://www.stares.co.kr/10350 여기에 좀 더 자세하게 써놨는데 한 번 읽어주시면 감사하겠습니다.