하드웨어 BP
-
[리버싱 핵심원리 study] 15장 UPX 실행 압축된 notepad 디버깅Reverse Engineering 2020. 12. 29. 02:49
이전 실습에서 생성한 notepad_upx.exe를 디버깅하여 실행 압축에 대한 개념을 이해하고 원시적인 방법으로 tracing 하면서 OEP를 찾아보자. 1. notepad.exe의 EP code 우선 원본 notepad.exe의 EP 코드를 살펴보자. 010073BE에서 GetModuleHandleA API를 이용하여 notepad.exe 프로세스의 ImageBase를 구한 후, 010073B4와 010073C0 주소에서 각각 MZ와 PE Signature를 비교한다. 2. notepad_upx.exe의 EP Code EP 주소는 010154F0으로, 이곳은 두 번째 섹션의 끝부분이다. 우선 PUSHAD 명령어를 통해 EAX ~ EDI 레지스터 값을 스택에 저장하고, ESI와 EDI 레지스터를 각각 ..