์ƒˆ์†Œ์‹

์ธ๊ธฐ ๊ฒ€์ƒ‰์–ด

๐Ÿ“  Secure

Windows PE ์‹ค์Šต ( ์ˆ˜์ • ํ•„์š” )

  • -
๋ฐ˜์‘ํ˜•

Helloworld.exeํŒŒ์ผ์˜ windowsPE๋ถ„์„ ์‹ค์‹œ

1. Section์˜ ๊ฐœ์ˆ˜๋ฅผ ๋‚˜ํƒ€๋‚ด๋Š” ์œ„์น˜์™€ ๊ฐ’์„ ์ฐพ์œผ์‹œ์˜ค

์œ„์น˜ : 000000EE ๊ฐœ์ˆ˜ : 4๊ฐœ

 

2. Optional Header์˜ ํฌ๊ธฐ๋ฅผ ๋‚˜ํƒ€๋‚ด๋Š” ์œ„์น˜์™€ ๊ฐ’์„ ์ฐพ์œผ์‹œ์˜ค

์œ„์น˜ : 00 00 00 FC  ๊ฐ’ : E0

 

3. Address of EntryPoint์˜ ์—ญํ•  ๋ฐ ์œ„์น˜์™€ ๊ฐ’์„ ์ฐพ์œผ์‹œ์˜ค

์œ„์น˜ : 00 00 01 10 ๊ฐ’ : 00 00 11 A0

์—ญํ•  : ๋ฉ”๋ชจ๋ฆฌ์— ์˜ฌ๋ผ๊ฐˆ ๋•Œ ์‹œ์ž‘์ 

 

4. Image Base ์—ญํ•  ๋ฐ ์œ„์น˜์™€ ๊ฐ’์„ ์ฐพ์œผ์‹œ์˜ค

์œ„์น˜ : 00 00 01 1C ๊ฐ’ : 00 40 00 00 00

์—ญํ•  : ๊ฐ„์ ‘ ์ฃผ์†Œ ๋ฐฉ์‹์—์„œ ๊ธฐ์ค€์ 

 

5. Section Alignment์™€ File Alignment์˜ ์œ„์น˜์™€ ๊ฐ’์„ ์ฐพ์œผ์‹œ์˜ค

SECTION : 1000 FILE : 200

 

6. ๊ฐ ์„น์…˜์˜ offset ๋ฐ address ์‹œ์ž‘ ์œ„์น˜์™€ ํฌ๊ธฐ๋ฅผ ์ฐพ์œผ์‹œ์˜ค

TEST SECTION - offset ์‹œ์ž‘์œ„์น˜ : 1000 // ์ด ํฌ๊ธฐ : 60A4              address ์‹œ์ž‘์œ„์น˜ : 400 // ์ด ํฌ๊ธฐ : 6200
RDATA SECTION - ์‹œ์ž‘ ์œ„์น˜ : 8000 // ์ด ํฌ๊ธฐ : 1BB0            ์‹œ์ž‘์œ„์น˜ : 6600 // ์ด ํฌ๊ธฐ : 1C00
DATA SECTION- ์‹œ์ž‘ ์œ„์น˜ : A000 // ์ด ํฌ๊ธฐ : 18DC               ์‹œ์ž‘์œ„์น˜ : 8200 // ์ด ํฌ๊ธฐ :E00

 

7. user32.dll ์˜ INT์™€ IAT์˜ ์œ„์น˜๋ฅผ ์ฐพ์œผ์‹œ์˜ค

Import์˜ ์‹œ์ž‘์œ„์น˜(RVA) : 965C(965C-8000+6600) = 7C5C

Import์˜ ์ด ํฌ๊ธฐ : 3C

 

INT : 977C [7D7C=977C-8000+6600] > 0000 9784 > 00409784(ollydbg๋กœ ํ™•์ธ)

 

NAME : 9792 [7D92=9792-8000+6600] > user32.dll

IAT : 80E4 [66E4=80E4-8000+6600] > MessageBoxW

๋ฐ˜์‘ํ˜•

'๐Ÿ“  Secure' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

2022-06-20  (0) 2022.06.28
2022-06-16  (0) 2022.06.28
DLL Ejection  (0) 2022.06.28
INT / IAT  (0) 2022.06.23
Window PE  (0) 2022.06.22
Contents

ํฌ์ŠคํŒ… ์ฃผ์†Œ๋ฅผ ๋ณต์‚ฌํ–ˆ์Šต๋‹ˆ๋‹ค

์ด ๊ธ€์ด ๋„์›€์ด ๋˜์—ˆ๋‹ค๋ฉด ๊ณต๊ฐ ๋ถ€ํƒ๋“œ๋ฆฝ๋‹ˆ๋‹ค.