Kernel Setting : http://tribal1012.tistory.com/164 시작 전, 위에 나오는 디버기 설정을 따라해서 가상머신 세팅을 끝낸다.------------------------------------------------------------------------------------------------------------------------------sys 파일 분석 방법VirtualKD로 잡힌 후, Windbg가 잡혀서 켜져야 한다..symfix c:\symbolssxe ld file.sys 으로 sys 파일 로드lm으로 확인start와 end의 주소 확인IDA를 이용해 분석하고자 하는 함수의 Offset 주소 확인Disassembly에 start + Offset 주소..
원본 : https://blog.0xbadc0de.be/archives/67 소스는 따로 올리지 않았기 때문에 원본들어가서 받으면 됩니다.---------------------------------------------------------------------------------------------------------------------------소개 휴일동안, C++로 완전히 코딩된 프로그램을 리버싱하고 분석하는 시간을 가졌다. 오로지 IDA만을 정보 출처로 사용하여 C++ 코드 원형을 심각하게 연구한건 이것이 처음이다. 다음은 흥미있는 함수 내부를 분석하기 시작했을 때, Hex-rays로부터 얻은 샘플이다.v81 = 9;v63 = *(_DWORD *)(v62 + 88);if ( v63 ){ ..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
소스 코드1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768# -*- coding: utf8 -*-import re, os, sys debug = 0 def Check_Main_Activity(activity): code = activity[1] if debug: print activity exp = re.compile(r"[\s]+([\s\w\"\/\=\-\.\:]+?)\n") intent_filter = re.findall(exp, code) if not code: return 0 for tag in intent_filter:..
Smali 코드 분석123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140.class public Lcom/example/tribal/filereader/MainActivity;.super Landroid/s..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
int* pptr2 부분이 올바른 표현 방법이다. 포인터를 사용해서 넣을 경우 위와 같은 형식으로 어셈블리어가 구성된다. *ptr : ptr 변수 내부의 값이 가리키고 있는 값(즉, 변수 c의 값)ptr : ptr 변수 내부의 값(즉, 변수 c의 주소)&ptr : ptr 변수의 주소 값 int* pptr1 = *ptrmov eax, dword ptr [ptr] => 먼저 ptr 이 가리키는 값을 구하려면 일단 ptr 변수 내부의 값부터 알아야 한다. ebp를 기준으로 ptr 변수의 주소를 확인한 후 값을 구한다.mov ecx, dword ptr [eax] => ptr은 포인터이기 때문에 주소 값을 가지고 있다. 그리고 우리가 원하는 값은 주소 내부에 있기 때문에 eax에 저장된 주소를 기준으로 가져온다...