[Frida] Binary Hooking 1

[Frida] Binary Hooking 1

[실습환경] Ubuntu 18.04 LTS [도구] Frida Frida는 바이너리 내 어떤 함수가 호출되는지 보여주고, 조작이 가능하도록 한다. 동적 바이너리 조사(DBI, Dynamic Binary Instrumentation)를 가능하게 해주는 프레임워크이다. 다양한 운영체제를 지원하고 있으며 파이썬 기반의 프레임워크로 다양한 API를 지원한다. Frida Tutorial Frida를 사용하여 호출된 함수를 검사하고, 인수를 수정하고, 대상 프로세스 내의 함수에 대한 사용자 지정 호출을 수행하는 방법을 보여준다 https://frida.re/docs/quickstart/ Quick-start guide Inject JavaScript to explore native apps on Windows, m..

  • format_list_bulleted Reversing
  • · 2022. 4. 28.
  • textsms
[Cheat Engine] Step8. Multiple Pointers

[Cheat Engine] Step8. Multiple Pointers

들어가며 Cheat Engine을 이용한 Code Injection 실습을 진행한다. 실습 환경 [분석환경] Windows 10 Pro [분석도구] Cheat Engine 7.3 Multiple Pointers Step 6. 와 유사한 동작을 하지만 단일 포인터가 아닌 여러번 참조하는 Pointer를 다룬다. 그림처럼 Player를 참조하기 위해서 게임 객체 -> Map -> Player 순서로 참조하여 값을 가져올 수 있다. 각 객체별로 가지고 있는 속성 값이 다르며, 다른 주소를 참조할 경우 해당하는 멤버는 다음 객체의 포인터 주소를 가지고 있다. 따라서 그림의 예시에서 Player Stat을 참조하기 위한 주소는 [[[Game.exe+202c]+8]+10]이 된다. 실습 실습은 Cheat Engin..

  • format_list_bulleted Reversing/Assembly
  • · 2021. 11. 29.
  • textsms
[Cheat Engine] Step7. Code Injection

[Cheat Engine] Step7. Code Injection

들어가며 Cheat Engine을 이용한 Code Injection 실습을 진행한다. 실습 환경 [분석환경] Windows 10 Pro [분석도구] Cheat Engine 7.3 Code Injection 코드 인젝션은 단독 실행 중인 프로세스에 코드(dll, 쉘코드) 등을 삽입하여 정상 프로세스의 컨텍스트 안에서 코드를 실행하는 기법이다. 주로 악성코드를 삽입하여 악성행위를 하도록 하는 목적으로 사용되기도 한다. 실습 실습은 Cheat Engine 내 튜토리얼로 진행한다. 간단하며, 따라하기 쉬운 예제이다. 이 단계에서는 'Hit me' 버튼을 눌렀을 때 1씩 감소하는 값을 가지고 있다. Code Injection을 통해서 버튼을 눌렀을 때 2씩 증가하도록 하면 된다. 1. Scan 값을 참조하는 부분..

  • format_list_bulleted Reversing/Assembly
  • · 2021. 11. 21.
  • textsms
DLL Injection 실습

DLL Injection 실습

[분석환경] Windows 10 Pro 64bit [분석도구] PEiD, Stud_PE, BinText, PEView, OllyDbg 1. DLL(Dynamic Load Library)? 동적 연결 라이브러리의 약자이다. 한번 로딩된 DLL의 코드, 리소스는 Memory Mapping 기술로 여러 Process에서 공유, 업데이트 시 DLL 파일만 교체 실행 환경의 dll버전차이, 호출 함수의 위치(주소) 불확실 등의 이유로 사용한다. 컴파일러 – 함수의 실제 주소가 저장될 위치만 준비 후 CALL PE 로더 – 준비한 위치에 실제 함수의 주소를 입력 코딩할 때 실제 주소를 하드코딩하지 않음 DLL 사용 시 응용프로그램의 모듈화 - 쉬운 기능 업데이트, 재사용의 장점 중복코드 사용의 감소로 적은 리소스 ..

  • format_list_bulleted Reversing
  • · 2020. 12. 14.
  • textsms
[Reversing] Windows 10 Anti-Reversing 기법 2

[Reversing] Windows 10 Anti-Reversing 기법 2

Preview Windows 환경 리버싱 공부 중 안티 리버싱 기법들이 오래된 OS 버전을 기준으로 하고 있어서 Windows 10 x64에도 가능한 기법을 새로 조사, 실습하여 정리한다. 이 포스트는 이전 포스트에서 이어지는 글이다. https://gomguk.tistory.com/45 [분석환경] Windows 10 x64 1903 [개발 & 분석도구] Visual Studio 2012(v110), OllyDbg, IDA Pro CheckRemoteDebuggerPresent() Windows XP 이상부터 꾸준히 사용되는 기법. ZwQueryInformation()을 사용하여 Debug Port 정보를 얻는다. MSDN에서 제공하는 정보는 다음과 같다. 프로세스 핸들과 디버그된 상태를 알려줄 변수 ..

  • format_list_bulleted Reversing
  • · 2020. 12. 10.
  • textsms
[Reversing] Windows 10 Anti-Reversing 기법 1

[Reversing] Windows 10 Anti-Reversing 기법 1

Preview Windows 환경 리버싱 공부 중 안티 리버싱 기법들이 오래된 OS 버전을 기준으로 하고 있어서 Windows 10 x64에도 가능한 기법을 새로 조사, 실습하여 정리한다. [분석환경] Windows 10 x64 1903 [개발 & 분석도구] Visual Studio 2012(v110), OllyDbg, IDA Pro Anti Reversing - 디버깅을 방지하고 분석하지 못하도록 막는기술 - 디버깅 발생 시 프로그램 종료 및 에러를 발생시켜 분석을 방해 - 안티 디버깅 기술의 발전 및 이를 우회하는 기술 또한 함께 발전 안티 디버깅 종류 Static Dynamic 디버깅 시작 시 동작 디버깅하면서 안티디버깅 기법을 만날때마다 해결 디버거 탐지하여 정상적인 실행 불가 디버깅 도중 수시로..

  • format_list_bulleted Reversing
  • · 2020. 12. 9.
  • textsms