stolen bytes
-
[Lenas Reversing for Newbies] 23Wargame/dreamhack.io 2021. 4. 17. 16:38
이번 실습에서는 Stolen Bytes라는 것에 대해 배워본다. Stolen Bytes란 .exe 파일의 코드의 일부(주로 entry point의 일부분)가 packer에 의해 할당된 메모리 영역으로 옮겨져 실행되게 하는 기법으로, dump를 했을 때 Stolen 된 부분이 없어져 문제가 생기게 된다. 1. PEiD PEiD로 첨부파일을 열어보자. db에 패커에 대한 정보가 없어서 "Nothing found *"라는 문구가 나타난다. OllyDbg로 파일을 열어보자. 2. debugging(with OllyDbg) PUSHFD, PUSHAD 명령어가 나타나는 점을 이용해 OEP를 찾는 일반적인 방법(ESP에 하드웨어 BP 설정)을 이용하면 다음과 같이 손쉽게 OEP로 추정되는 영역에 도달할 수 있다. 그..