Device Driver- DEVICE_EXTENSION 구조체 : https://www.codeproject.com/Articles/8651/A-simple-demo-for-WDM-Driver-development- DEVICE_OBJECT 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware/ff543147(v=vs.85).aspx- IO_STACK_LOCATAION 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware/ff550659(v=vs.85).aspx- IRP 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware..
상황 예제- String이 분명히 바이너리에서 사용되는데 'no xrefs to'가 발생하면서 참조가 안 되는 상황 문자열 찾는 방법 1- Alt + B를 눌러 String의 주소를 검색 문자열 찾는 방법 212345678910111213141516171819202122232425262728293031323334353637383940from struct import pack, unpackimport idautilsimport idaapi def SearchString(curser): #curser = here() b1 = (curser >> 24) & 0xff b2 = (curser >> 16) & 0xff b3 = (curser >> 8) & 0xff b4 = curser & 0xff print '[+..
단축키단축키 설명 X Xross Reference, 현재 커서가 가리키는 것을 역참조 N Rename AConvert to ascii type R Convert to char typeH Convert to hex typeD Convert to dword typeU 어셈블리어 빻을 수 있음 P 함수 재지정, U와 같이 사용하면 유용 ESet current cursor address to current function's end addressY자료형 타입 재지정Crtl + 1 Quick View Shift + F12 문자열 보기 Alt + A 문자열 인코딩 Edit, U랑 같이 하면 Ascii -> Unicode로 Edit하기 편함 Alt + B 바이너리 검색, xref 안 될 때, 해당 주소를 검색하면 좋..
main 함수를 찾는건 기본이지만, main 함수 시작 전 stub code의 형태 좀 정리해서 기초 좀 정리하자는 의미에서 시작한다. 아무리 큰 프로그램이여도 main 함수 시작 전에 stub 코드를 통해 실행되기 때문에 이를 볼 줄 알면 더욱 수월하다. 실제 응용 프로그램의 코드에서 main 함수를 찾아보고자 한다. 하지만 심볼이 날아가 있어 바로 보이지는 않으므로, 약간은 분석해서 찾아보고자 한다.※ 심볼이란? https://blogs.msdn.microsoft.com/noenemy/2009/08/05/symbol-file/ 분석 전 먼저 IDA로 열어준 후, function name 창에서 검색(Ctrl+F)를 눌러 start를 입력하여, start 함수로 진입한다. 만약 start 함수가 없다면..
소스코드123456def hexdump(string): for line in range(0, ((len(string)/16)+1), 1): print '%04x: ' % line + ' '.join(x.encode('hex') for x in string[(line*16):((line*16)+16)]) #print ' '.join(x.encode('hex') for x in string) hexdump("A"*100+"B"*100)Colored by Color Scriptercs 결과 사용방법 : 소스코드의 6번째 줄처럼socket이나 페이로드를 구현할 때 쓸만할거 같아서 작성했다. 4번째 줄처럼 바로 보는 방법도 있지만, 보기 불편하므로... ps. hexdump 모듈이 있는거 같지만 따로 설치해야 하..
사용 전pip 설치scapy 모듈 설치 소스코드123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119#!/usr/bin/pythonfrom scapy.all import IP, TCP, UDP, sr1from random import randintfrom time import sleepimport sysimport ge..
Kernel Setting : http://tribal1012.tistory.com/164 시작 전, 위에 나오는 디버기 설정을 따라해서 가상머신 세팅을 끝낸다.------------------------------------------------------------------------------------------------------------------------------sys 파일 분석 방법VirtualKD로 잡힌 후, Windbg가 잡혀서 켜져야 한다..symfix c:\symbolssxe ld file.sys 으로 sys 파일 로드lm으로 확인start와 end의 주소 확인IDA를 이용해 분석하고자 하는 함수의 Offset 주소 확인Disassembly에 start + Offset 주소..
보호되어 있는 글입니다.
보호되어 있는 글입니다.