DRAKE

IceExt 를 이용한 화면 캡쳐하기::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 이번글에서는 IceExt 의 dumpscreen의 사용법을 다룬다. 본글에서 사용된 IceExt 의 버전은 5.6 이며 후속 버전에 도 방법은 같을 것이라 짐작한다.우선 IceExt란 무엇인가? IceExt란 SoftIce에서 지원되지 않는 몇가지 기능들을 가지 고있는 플러그인으로서 SoftIce가 화면 캡쳐를 지원하지 않기 떄문에 IceExt같은 플러그인이 필요로 하기 떄문에 만들어진플러그인 프로그램이다. IceExt를 다운받은후 인 스톨을 하시고net start IceExt 라고 타이핑 한후 실행시키 면 소아와 함께IceExt가 시작 된다. 그런..

RAW 와?RVA 간의 계산 ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 이번글에서는 RAW와?RVA 간의 계산법에 대해 다룬다.?이 계산을 수행해주는 계산기(첨부파일)가 있지만? 이 두가지 계산법은 ?PE에서는 꼭알아야 함으로 임으로 꼭 알아두는게 좋다. 위 그림은 대상 프로그램의 섹션이다. 첫번쨰는 특정RAW에 대한?RVA 계산법이다. 식은 다음과 같다. RVA = (RAW - RawOffset) + VirtualOffset 만약 0x710 이라는?RAW 값의 RVA 값을 알고 싶다고 가정하자. 그렇다면 0x920는 섹션 RawOffset 에서 0x600이상 0xA00미만에? 속함으로.rdata에 속함을 알수 ..

Import Table ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 목적: 자 이번글에서는 프로그램에서 Import Table에 대하여 알아볼것이다. Import Table이란 프로그램이 Dll에서?Export 해주는 함수들을 동적 Import 해주는 집합?구조체이다. 이번 글을 알기위해서는 10번 RVA에 관한 강좌를 꼭 알아야만 한다. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 타켓 파일: 다운받기 ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 타켓 파일의 구조: 우선?PE 시그니처로 부터 0x..

PE 형태의 파일에 섹션 추가하기이번글에서는 PE파일에 섹션을 추가하는 방법에 대해서 다룰것이다. 섹션을 추가하는 이유는 프로그램에 빈공간이 없을경우 빈공간을 만들기 위해서이며 이미 섹션을 쉽게 추가 시켜줄수 있는 프로그램들이 존재한다. 이런 프로그램들 역시 이번글에서 다루는것과 같은 방법을 프로그램화 시켜 놨음뿐임으로 그런류의 프로그램을 직접 만들어 보는것도 괞찮다고 생각한다. 우선 PE 스캐너를 이용하여 대상 파일을 한번 살피어 보자. 본인은 Stud_PE를 사용하겠다. 열어서 섹션을 보면 밑처럼 되어 있다. text,rdata,data,rsrc 이렇게 4가지 섹션들로 프로그램이 이루어 졌음을 알수 있다. 이제 대상을 헥스 에디터를 열어 PE Header를 수정하여 보자. 가장 먼저 파일의 크기를 증..