Reversing 도구

 

IDA (Interactive DIsAssembler)

: 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어

주로 정적분석 !

다양한 실행 파일과 중앙 처리 장치, 운영 체제를 지원한다.

PE, ELE 실행 파일에 대해서는 디버거로 사용할 수 있다.

코드 섹션들 사이의 상호 참조와 API 호출 시의 파라미터, 그리고 다른 정보를 통해 자동 코드 분석을 수행한다.

디스어셈블이 어렵지만, IDA 는 디스에셈블을 향상시키기 위해 대화형 기능을 가지고 있다.

유료 버전을 사서 쓰면 기계어를 어셈블리어로 바꿔줄뿐 아니라 c언어 비슷하게 바꿔주지만

홈페이지 :   https://www.hex-rays.com/products/ida/

 

x64dbg

: 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어

주로 동적 분석 !

- c언어 문법 형태의 파저

- TitanEngine 을 통한 DLL , exe 의 모든 디버깅 기능 포함

- 소스 코드 보기 기능

다운받으면 x96dbg.exe 파일이 있는데 해당 파일을 실행시켜 32 / 64 bit 를 선택하면 된다.

비싸고 고성능인 IDA 보다 가볍고 무료이다.

 

ollydbg 를 64 bit 로도 사용할 수 있게 확장한 버전이라고 생각하면 된다.

그래서 ollydbg 랑 비슷한 모양! 그런데 ollydbg 에 없는 함수 창 등이 있음

홈페이지 :   https://x64dbg.com/#overview

 

 

PE Viewer

: PE 구조를 볼 수 있는 도구

PE 헤더들이나 유효하지 않은 PE 파일들을 수정할 수 있다.

윈도우 32 / 64 bit 에서 DLL(Dynamic Link Library) , exe, 함수 등을 불러와서 살펴볼 수 있다.

PE 구조를 공부하거나 악성 코드 분석, 리버싱 등에 유용한 툴이다. 

download link

(이미지 출처 :   https://download.cnet.com/PE-Viewer/3000-2352_4-10966763.html )

 

exeinfo PE

: A.S.L 이 만든 소프트웨어로 PE 파일을 분석하는 도구

해당 프로그램이 어느 언어로 컴파일 되었는지, 패킹, 크립팅, 프로텍팅 여부, 어느 툴에 의해 패킹되었는지 등을 볼 수 있다.

: 사용한 언어는 c++, 패킹되어있지 않음.

이런 정보들을 한눈에 알아볼 수 있다는 것이 큰 장점 !!

출처: https://iforint.tistory.com/40?category=1134087 [🏰]