따라해보기
-
Introduction of Pefile Python Library카테고리 없음 2010. 12. 27. 21:52
파이선(Python)은 리버스 엔지니어링(Reverse Code Engineering)을 함에 있어 가장 유용한 스크립트라고 할 수 있을 것이다. 그 이유는 가장 많은 기능을 가지고 있다는 IDA Pro 에서 IDA API 를 사용할 수 있도록 IDAPython 플러그인이 나왔고 그 후 Pedram Amini 의 PyDbg 나 Ero Carrera의 pefile 이 나오면서 리버스 엔지니어링 분야에서 파이선 언어가 주료로 자리매김하 되었습니다. 이후 이뮤니티 디버거(IMMUNITY)나 BinNavi 에 이르기까지 파이선을 지원하고 있습니다. [1] 오늘은 파이선에서 pefile 라이브러리를 사용하는 방법에 대해 간략히 알아보도록 하겠습니다. 우선 pefile 사이트에서 관련 파일을 다운로드 받습니다. 압..
-
How to debug MBR on the Bochskb 2010. 12. 27. 21:24
MBR(Master Boor Record)을 감염시키는 악성코드가 있다면 기존의 MBR을 어떻게 변경하여 원하는 동작을 실행시키는지 궁금할 것이다. MBR은 BIOS(Basic Input/Output System)에서 POST(Power On Self-Test)과정을 거쳐 정상적으로 완료된 후 다음으로 호출되는 곳으로 하드디스크의 첫번째 옵셋(Offset 0x00)에 위치한 512 바이트의 바이너리를 말하는 것이다. MBR은 MBR 마지막 부분에 위치한 4개의 Partition Table 에 정보를 읽어 Partition Table 의 Boot Indicator 가 실행가능한 값(0x80)을 가지고 있을 경우 부팅 디스크로 판단하여 제어권을 넘겨주는 기능을 담당한다. MBR 에대한 자세한 내용은 여기에서..