정짱의 작은 도서관

[Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) ① 이전 IMAGE_DOS_Header와 MS-DOS_Stub 수정 후 크기는 변하지 않았습니다. 다음으로는 SECTION.data을 확인해보겠습니다. 그런데 PE구조를 다시 보니 리소스 부분을 먼저 삭제를 해야 될꺼같습니다. 1. SECTION.rsrc 삭제하기 peview를 통해 해당 SECTION.rsrc 영역을 확인 후 Hxd에서 리소스 부분을 삭제를 했습니다. 삭제 후 확인 해보면 SECTION.rsrc 영역이 삭제 된걸 확인 할 수 있습니다. 파일을 실행 하게 되면 실행이 되지 않습니다. 실행이 되도록 만들어야 되겠지요. 이제 리소스를 참조한 부분을 찾아 수정..

[Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE)PE 파일의 전체 구조를 보며, 불필요한 부분을 삭제하고 변경을 통해 크기를 줄이는 목적으로 작성하겠습니다. 파일 최초 크기8,704 바이트 이며, 실행 시 Hello World가 출력됩니다. 파일 전체 구조 1. IMAGE_DOS_HEADER와 MS-DOS_Stub 1.1 IMAGE_DOS_HEADERIMAGE_DOS_Header의 구조체를 확인 했을 때 구조체 중 "e_magic" 필드와 "e_lfanew" 필드가 가장 중요하다고 합니다. e_magic : DOS Signature [4D5A → MZ]e_lfanew : NT Header offset [E0000000 ..

[Reversing] PE 파일 구조 정확하지 않을 수 있으며, 전체를 다루지 않았습니다. 주요 구조 IMAGE_DOS_HEADER IMAGE_NT_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER IMAGE_SECTION_HEADER IMAGE_IMPORT_DESCRIPTOR IMAGE_EXPORT_DIRECTIORY IMAGE_IMPORT_BY_NAME IMAGE_THUNK_DATA32 peview로 바라본 PE 구조 IMAGE_DOS_HEADERtypedef struct _IMAGE_DOS_HEADER{ WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_..

[Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VM FLARE 팀이 개발한 FLARE VM 설치 FLARE VM 관련 정보와 문서는 다음 깃허브 사이트에서 찾아볼 수 있습니다. https://github.com/fireeye/flare-vm 위 사진과 같이 해당 파일을 받아줍니다. VMware Workstation Pro Windows7 가상머신에서 해당 파일의 압축을 풀어 줍니다. 이후 Windows PowerShell을 실행 시켜줍니다. 위와 같은 명령어를 입력해 주면 설치가 되는데 그 전에 해당 install.ps1 파일의 속성 부분을 눌러보시면 "??해제" 와 같은 문구가 있었던걸로 기억하는데 설치한지가 꽤 되서 기억이 나지 않습니다...