Game Design & Development Story

요약 1. IDA Pro, Hex Rays 2. CFF Explorer 3. API Monitor 4. WinHex 5. Hiew 6. Fiddler 7. Scylla 8. Relocation Section Editor 9. PEiD 10. BinNavi 1. IDA Pro, Hex Rays IDA Pro 는 가장 널리 사용되는 리버스 엔지니어링 소프트웨어 도구 중 하나입니다. 명령 언어( IDC )가 내장되어 있고 다양한 프로세서 및 운영 체제에 대해 여러 실행 가능한 형식을 지원하는 대화형 디스어셈블러입니다. IDA Pro에는 또한 디스어셈블러의 기능을 더욱 확장할 수 있는 수많은 플러그인이 있습니다. IDA Pro의 주요 장점은 표시된 데이터의 모든 요소를 ​​대화식으로 변경할 수 있다는 것입니다...

IDA (Interactive DIsAssembler) : 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어 주로 정적분석 ! 다양한 실행 파일과 중앙 처리 장치, 운영 체제를 지원한다. PE, ELE 실행 파일에 대해서는 디버거로 사용할 수 있다. 코드 섹션들 사이의 상호 참조와 API 호출 시의 파라미터, 그리고 다른 정보를 통해 자동 코드 분석을 수행한다. 디스어셈블이 어렵지만, IDA 는 디스에셈블을 향상시키기 위해 대화형 기능을 가지고 있다. 유료 버전을 사서 쓰면 기계어를 어셈블리어로 바꿔줄뿐 아니라 c언어 비슷하게 바꿔주지만 x64dbg : 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어 주로 동적 분석 ! - c언어 문법 형태의 파저 - TitanEngine 을 통한 DLL..

원문 : https://jack2.postach.io/post/agseonghaengwi-gibeob-code-injection-process-hollowing 0) 개요 Hollow 란? 구멍 오목한 것 텅빈 오목한 간단 설명 [1] Process Hollowing 기법은 최근 악성코드에서 사용되는 흔한 기술로 정상적인 프로세스를 생성하고 해당 프로세스에 악성PE 데이터를 삽입하여 실행 PROCESS REPLACEMENT RUNPE 동작 방식 [2] CreateProcess / OpenProcess WriteProcessMemory ResumeThread 1) 프로세스 생성 - CreateProcess (feat.SUSPENDED) CreateProcess function [3] BOOL WINAPI ..