-
2010. 11. 8. 15:59 Processor Code/Reversing
DLL 확장자를 가지는 Dinamic Link Library 이다.
헤더를 분석하여 출력 함수 주소를 바꿔버리는 방법은 어렵지 않으며,
간단히 Export Address Table ( EAT ) 편집을 하면 된다.
이를 응용하여 Inport Address Table ( IAT ) 편집을 할경우 이미 컴파일된 실행파일을 조작 할수 있다.
Original Entry Point ( OEP ) 와는 다르지만, 상대주소를 사용하고 같은 헤더안에 값이 있음으로,
아래 강좌를 보아도 이를 이해 할수 있을것이다.
Winsock2 의 send 함수주소를 바꿔버리는 방법.
우선 메모리 분석을 통해서 PE 헤더를 열고,
스크롤을 내려 PE 헤더로 가서 Export Tabel Address 를 찾는다.
PE Header 가 719E0000 에 있었고, 위에서 Export Table Address 은 1404 를 가리킨다.
16진수 719E0000 + 1404 는 719E1404 이다. 진수 변환을 통해 계산 할필요가 없이 간단하다.
Ctrl + F 를 사용하여 어셈블리 명령어를 찾아낸다.
하지만 이값은 Offset( 오프셋 ) 이라서 명령어로는 안찾아지나보다..
버그인지는 모르겠지만 올리디버그 2.0 에서는 결과가 궁금하다.
00004C27 를 메모리에 나타내면, 27 4C 00 00 이다.
Little Endian ( 리틀 엔디안 ) 방식으로, 이렇게 해주어야 한다.
Ctrl + B 사용.
send 함수의 원래 주소 0x719E4C27 을 +2 의 주소로 이동 시켰다.
간단하게 바꾸어 다양한 방법으로 활용이 가능하다는것을 잊지 말자.
헤더를 분석하여 출력 함수 주소를 바꿔버리는 방법은 어렵지 않으며,
간단히 Export Address Table ( EAT ) 편집을 하면 된다.
이를 응용하여 Inport Address Table ( IAT ) 편집을 할경우 이미 컴파일된 실행파일을 조작 할수 있다.
Original Entry Point ( OEP ) 와는 다르지만, 상대주소를 사용하고 같은 헤더안에 값이 있음으로,
아래 강좌를 보아도 이를 이해 할수 있을것이다.
Winsock2 의 send 함수주소를 바꿔버리는 방법.
우선 메모리 분석을 통해서 PE 헤더를 열고,
스크롤을 내려 PE 헤더로 가서 Export Tabel Address 를 찾는다.
PE Header 가 719E0000 에 있었고, 위에서 Export Table Address 은 1404 를 가리킨다.
16진수 719E0000 + 1404 는 719E1404 이다. 진수 변환을 통해 계산 할필요가 없이 간단하다.
Ctrl + F 를 사용하여 어셈블리 명령어를 찾아낸다.
하지만 이값은 Offset( 오프셋 ) 이라서 명령어로는 안찾아지나보다..
버그인지는 모르겠지만 올리디버그 2.0 에서는 결과가 궁금하다.
00004C27 를 메모리에 나타내면, 27 4C 00 00 이다.
Little Endian ( 리틀 엔디안 ) 방식으로, 이렇게 해주어야 한다.
Ctrl + B 사용.
send 함수의 원래 주소 0x719E4C27 을 +2 의 주소로 이동 시켰다.
간단하게 바꾸어 다양한 방법으로 활용이 가능하다는것을 잊지 말자.
|
