No img
'분류 전체보기'에 해당되는 글 115건

  1. Reversing Study - day 3(스택 프레임) 2019.11.27
  2. 11. pipy 등록하기(feat. pip install 사용하기) 1 2019.11.25
  3. [File Structure] PE파일(Portable Executable) 2 2019.11.23
  4. [Artifact] NTFS - $UsnJrnl - $J 2019.11.14
  5. [Artifact] NTFS - $MFT 2019.11.13
  6. Reversing Study - day 2(레지스터) 2019.11.09
  7. Reversing Study - day 1 2019.11.09
Reversing Study - day 3(스택 프레임)
2019. 11. 27.
* 본 문서는 리버싱 핵심 원리책(일명 나뭇잎 책)과 인터넷 자료들을 바탕으로 학습한 기록입니다. * 개인의 학습을 위한 자료이기 때문에 정확하지 않은 정보가 포함되어 있을 수 있습니다. 스택 프레임 메모리의 스택 영역은 함수 호출 시 지역 변수와 매개 변수가 저장되는 영역으로 함수 호출이 완료되면 함께 소멸한다. 함수가 호출되면 스택에는 함수의 매개변수, 지역변수 반환 주소 값 등이 저장되는데 이렇게 차례대로 저장되는 함수의 호출 정보를 스택 프레임(stack frame)이라고 한다. - 참고: http://tcpschool.com/c/c_memory_stackframe 코딩교육 티씨피스쿨 4차산업혁명, 코딩교육, 소프트웨어교육, 코딩기초, SW코딩, 기초코딩부터 자바 파이썬 등 tcpschool.co..
11. pipy 등록하기(feat. pip install 사용하기)
2019. 11. 25.
pip이란 파이썬으로 작성된 라이브러리를 쉽게 설치할 수 있도록 도와주는 패키지 관리 시스템이다. 즉, 내가 만든 프로젝트를 pip install 라이브러리이름으로 쉽게 다운받기 위해 등록해두는 것이다. pip을 사용하기 위해서는 pypi를 활용해야 한다. 1. pypi 회원가입 https://pypi.org/ PyPI · The Python Package Index The Python Package Index (PyPI) is a repository of software for the Python programming language. pypi.org 먼저 위의 pypi 사이트에 회원가입을 해야한다. 2. 프로젝트 구조 pypi에 등록하고자 하는 프로젝트 내부에 필요한 기본 구조를 맞춰줘야 한다. - ..
[File Structure] PE파일(Portable Executable)
2019. 11. 23.
PE-COFF(Portable Executable Common Object File Format) Windows 운영 체제에서 실행 파일(executable files)와 object 파일. 즉 윈도우즈에서 사용되는 실행 파일을 뜻한다. PE파일에는 exe, scr, com, dll, ocx, sys 등이 있다. PE파일은 악성코드 분석이나 리버스 엔지니어링의 주요 대상이기때문에 보안을 공부하는 사람들이 반드시 공부해야 하는 것 중 하나라고 할 수 있다. PE파일 구조 PE파일의 구조를 공부하기 위해 PE파일의 헤더에 대한 공부는 필수적이다. PE헤더에 파일이 실행되기 위해 필요한 모든 정보가 구조체 형식으로 적혀있기때문이다. DOS Header 64bytes로 고정된 길이를 가지며 주요 구성요소는 e_..
[Artifact] NTFS - $UsnJrnl - $J
2019. 11. 14.
$J는 Sparse Area(0으로 채워진)가 속성의 앞 부분에 나온 후 가변 크기의 로그 레코드들이 연속적으로 나열되는 구조를 가졌다. Sparse Area R R R R Contents Offset Size Size of Record 0x00 4 Major Version 0x04 2 Minor Version 0x06 2 MFT Reference Number 0x08 8 Parent MFT Refernce Number 0x10 8 USN 0x18 8 Update Sequence Number TimeStamp(FILETIME) 0x20 8 이벤트 발생 시간(UTC+0) Reason Flag 0x28 4 Source Information 0x2C 4 Security ID 0x30 4 File Attribu..
[Artifact] NTFS - $MFT
2019. 11. 13.
MFT Entry Header Content offset size Signature 0x00 4 FILE Offset of Fixup Array 0x04 2 48(0x30) Count of Fixup Values 0x06 2 3(0x03) $LogFile Sequence Number(LSN) 0x08 8 Sequence Value 0x10 2 Hard Link Count 0x12 2 1 Offset to First Attribute 0x14 2 56(0x38) Flags 0x16 2 0x01(MFT Entry 사용중) 0x02(MFT Entry = directory) Used Size of MFT Entry 0x18 4 Allocated Size of MFT Entry 0x1C 4 1024(0x0400)..
Reversing Study - day 2(레지스터)
2019. 11. 9.
레지스터란? CPU 내부에 존재하는 다목적 공간. CPU 내에서 처리할 명령어나 연산에 사용할 값이나 연산 결과를 일시적으로 기억하는 장치 다양한 종류의 레지스터*가 존재하지만 지금은 리버싱 기초를 위한 레지스터들만 먼저 정리해두겠다. 범용 레지스터(General Purpose Registers) 상수/주소 등을 저장할 때 주로 사용되는 레지스터로 특정 어셈블리 명령어에서는 특정 레지스터를 조작하기도 한다. - EAX: Extended Accumulator Register, 일반적으로 함수 리턴 값에 사용 - EBX: Extended Base Register - ECX: Extended Counter Register, 반복문 명령어에서 반복 카운트로 사용 - EDX: Extended Data Regist..
Reversing Study - day 1
2019. 11. 9.
* 본 문서는 리버싱 핵심 원리책(일명 나뭇잎 책)과 인터넷 자료들을 바탕으로 학습한 기록입니다. * 개인의 학습을 위한 자료이기 때문에 정확하지 않은 정보가 포함되어 있을 수 있습니다. 리버스 코드 엔지니어링이란 구조, 기능, 동작 등을 분석하여 그 원리를 이해하며 단점을 보완하고 새로운 아이디어를 추가하는 일련의 작업이다. 리버싱 방법은 크게 두 개, 정적 분석과 동적 분석으로 나눠진다. - 정적 분석: 파일의 겉모습을 관찰하여 분석하는 방법. 파일의 종류, 크기, 헤더 정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록 정보, 디버깅 정보 등의 다양한 내용을 확인하는 것이다. - 동적 분석: 파일을 직접 실행시켜서 행위를 분석하고 디버깅을 통해 흐름과 메모리 상태 등을 살..
이전 목록 [1] [···] [7] [8] [9] [10] [11] [12] [13] [···] [17] 다음 목록

티스토리툴바