x86, x64 메모리 주소 체계 (BOF) 32/64비트 메모리 주소 체계 hackstoryadmin.tistory.com/78?category=276534 스택과 레지스터를 32비트는 4바이트씩 구분하고, 64비트는 8바이트씩 구분을 한다. 여기서 중요한점은 64비트에서는 8바이트로 구분은 하지만 앞의 2바이트는 사용하지 ...

DLL Injection Link maple19out.tistory.com/37 DLL Injection은 실행 중인 다른 프로세스에 특정 DLL 파일을 강제로 삽입하는 것이다. 다른 프로세스에게 LoadLibrary() API를 스스로 호출하도록 명령하여 사용자가 원하는 DLL을 로딩하는 것이다. 프로세스에 DLL이 로딩되...

후킹 Link maple19out.tistory.com/35 chive0402.tistory.com/10 hook은 중간에서 오고가는 정보를 엿보거나 가로채는 행위를 뜻한다. 이를 hooking이라 한다. 그래서 OS - 애플리케이션 - 사용자 사이에 오고가는 정보도 마찬가지로 후킹이 가능하다. 여러 방식이 있으며 가장 ...

인라인 패치 Link maple19out.tistory.com/31 chive0402.tistory.com/8 인라인 패치는 실행 압축되거나 암호화된 파일을 패치할 때 자주 사용되는 기법이다. 이 기법은 원하는 코드를 직접 수정하기 어려울 때 간단히 코드 세이브라고 하는 패치 코드를 삽입한 후 실행해 프로그램을 패치시키는 ...

UPACK PE 헤더 분석 Link maple19out.tistory.com/28 chive0402.tistory.com/7 SizeOfOptionalHeader 대부분 설명은 위에 써있지만 책에 나와있는 내용을 조금 더 추가하였다. IMAGE_FILE_HEADER의 SizeOfOptionalHeader 부분을...

reloc 섹션 EXE 형식의 PE 파일에서 Base Relocation Table 항목은 실행에 큰 영향을 미치지 않는다고 한다. 제거 후 실행했을 때 정상적으로 실행된다. (메모리에 먼저 올라가서 그런가?) 이유는 다음과 같다. 출처 geun-yeong.tistory.com/39 EXE 파일의 경우 자신만의 공간을 할당...

PE 재배치 PE 파일의 재배치 과정에서 Base Relocation Table을 사용하는데 이것의 구조와 동작 원리를 살펴본다. PE파일이 메모리에 로딩될 때, PE헤더의 ImageBase 주소에 로딩된다. DLL 파일의 경우 해당 위치에 이미 다른 DLL 파일이 로딩되어 있으면 다른 비어 있는 주소 공간에 로딩되는데 이를 재배치라 한...

실행 압축 실행 압축은 PE 파일을 대상으로 파일 내부에 압축해제 코드를 포함하고 있어서 실행되는 순간에 메모리에서 압축을 해제시킨 후 실행시키는 기술이다. 실행 압축된 파일 역시 PE 파일이며, 내부에 원본 PE 파일과 decoding 루틴이 존재한다. Entry Point 코드에 decoding 루틴이 실행되면서 메모리에서 압축을 해제시...

PE File Format 패치: 프로그램의 파일 혹은 실행 중인 프로세스 메모리의 내용을 변경하는 작업 크랙: 패치와 의미가 동일하지만 악의적인 의도인 작업 Link majg.tistory.com/16 위의 링크에도 설명하지만 NT Header 부분에서 32비트에서는 HEADER32를 쓰고 64비트에서는 HEADER64...

디스크의 구조 디스크 외부에서는 일정한 크기의 저장공간들로 이루어진 1차원 배열처럼 취급하게 된다. 일정한 크기의 저장공간을 논리블록이라고 하며, 이 논리블록 단위로 저장되고 전송된다. 논리블록은 디스크 내에서 섹터에 저장되어 있다. 즉, 하나의 논리블록은 하나의 섹터에 저장되어 있다. 하나의 원판 안에 하나의 트랙이 있고, ...