1q

1. 기본적으로 .TEXT(코드영역) 첫 부분이나 멈추고 싶은 부분에서 "EB FE"로 HEX 값을 변경하면 무한루프 상태가 되는데, 이때 디버거로 ATTACH 가능* ATTACH 후 "EB FE"로 변경 전 HEX 값으로 복구해야 함.참고 : https://paulslaboratory.blogspot.com/2014/04/ebfe-debugging-remote-thread.html 2. Global Flags를 이용해 특정 이미지가 실행될 때 디버깅 하는 방법은 아래와 같음(OllyDBG의 Just in time debugging과 동일하나 특정 이미지를 지정해준 다는 것이 다름)* Global Flags - Image File 탭 - Image 칸에 디버깅 할 프로세스 작성 - Debugger 칸에 ..

1. PyInstaller Extractor(https://sourceforge.net/projects/pyinstallerextractor/) 도구로 추출 진행 사용법 : PyInstaller.py [추출 대상 파일]2. pyc로 예상되는 파일 처음에 "03 F3 0D 0A 2B 79 67 58" 추가 후 확장자 pyc로 만들고 Easy Python Decompiler(https://sourceforge.net/projects/easypythondecompiler/) 도구로 디컴파일 하면 Python 파일이 보임 참고 : https://bpsecblog.wordpress.com/2017/01/06/holyshield-ransome/

# IDA에서 분석하고 달아놨던 주석을 모두 가져오기 위해 디스어셈블된 상태에서 가져오는 주석인 idc.GetCommentEx 함수를 사용했지만 디컴파일된 수도코드에서 달아놨던 주석은 못가져온다.. 방법은 아래와 같다. 출처 코드에서 약간만 변경했음출처 : https://github.com/Comsecuris/shannonRE/blob/master/idapython/plugins/pseudocomments.py123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657from idautils import *from idaapi import *from idc import * co..

[먼저 설치할 것]* 환경 : Windows71. Python 2.7 설치2. https://github.com/corelan 홈페이지에서 아래 프로젝트 내부의 파이썬 파일 다운로드- windbglib.py- mona.py3. 2번에서 다운로드 받은 2개의 파일을 Windbg 폴더에 복사4. 2번에서 받은 windbglib-master\pykd\pykd 경로에서 pykd.pyd 파일을 windbg 폴더에 복사5. 4번과 같은 경로에서 vcredist_x86.exe 파일 실행 후 설치 6. Windbg 설치 후 Symbol 설정 ( SRV*C:\windbgsymbols*http://msdl.microsoft.com/download/symbols )- 참조(http://suspected.tistory.com..

# BIN0004.eps_decom.bin 파일은 CVE-2013-0808 취약점으로 한글 파일(HWP) 내부에 악의적으로 조작된 EPS(Encapsulated PostScript) 코드이며, 내부에는 쉘코드가 담겨있다. 파일을 헥스 에디터로 열어본 결과 헥스(Hex) 값과 문자열(Char)이 뒤바껴있는 모습을 볼 수 있다. 일단 저 상태로 디버깅을 수행할 수 있는 방법이 있겠지만.. 생각이 안나서 스크립트(Python)를 이용해 변경했다. # 스크립트 내용은 간단하다. 바이너리 값을 읽어 2Byte만큼 가져와 binascii 라이브러리의 unhexlify 함수를 이용해 헥스(Hex) 형태로 변경된 바이너리 값으로 새로운 파일을 바이너리 형태로 생성한다. 1234567891011from binascii ..

# 조건부 브레이크 포인트를 이용해 0x33으로 XOR 인코딩된 데이터를 디코딩 후 패치해주는 코드 12345678910111213141516171819202122232425262728293031323334353637#-*- coding: utf-8 -*- RunPlugin("python", 3) # IDAPython 라이브러리 로드 from idaapi import *from idautils import *from idc import * # 아래는 구글링 하다가 발견한 소스코드이며 구현 방법은 다양하다는 것을 느낌'''def xor(size, key, buff): for index in range(0, size): cur_addr = buff + index tmp = Byte(cur_addr) ^ ke..

1234567891011121314151617181920212223242526272829303132333435363738394041424344#-*- coding: utf-8 -*- # IDAPython 라이브러리 로드 from idaapi import *from idautils import *from idc import * addr = MinEA() # 시작 주소FText = "What" # 찾을 문자열 # ParseString 함수는 Strings 함수로 FindText 함수를 대신할 수 있게 만들어본 코드인데...흠 모르겠네요 def ParseString(text): # Shift + F12를 통해 확인할 수 있는 텍스트를 모두 가져와 찾고 싶은 문자열을 리스트 형태로 리턴 StringObjList..

# Enum은 열거형이라고 불리며, 서로 연관된 상수들의 집합을 의미하고 정수형 상수에 이름을 붙여서 코드를 이해하기 쉽게 해준다. # 스크립트123456789101112131415AddEnum(0, "ex_enum", idaapi.hexflag()) # enum 추가 enumeration = GetEnum("ex_enum") # 추가한 enum 중에 이름이 ex_enum인 것을 가져옴 AddConstEx(enumeration, 'data', 1000, -1) # 추가한 enum("ex_enum")에 { name : data, value: 1000 } 값 생성 Enum_id = GetnEnum(0) # 0 번째 Enum의 id를 가져옴 enum_constant = GetFirstConst(Enum_id,..