Be Expert

참고문헌 : 실전 악성코드와 멀웨어 분석, Michael Sikorski, Andrew Honig 최근 악성코드 분석 공부를 하면서 다시금 레지스터와 명령어에 대한 내용이 있어 정리해봤다. 플래그 레지스터(Flag register) : 실행 도중 각 플래그는 CPU 동작을 제어하거나 CPU 동작의 결과를 나타내기 위해서 (1) 이나 (0)이 설정된다. ZF (제로 플래그) : 연산의 결과가 0과 같을 경우 설정되며(1로), 그 외에는0이다. CF (캐리 플래그) : 연산의 결과가 대상 오퍼랜드보다 너무 작거나 클 경우 설정되며, 그 외에는 0이다. SF (사인 플래그) : 연산의 결과가 음일 때 설정되고, 양일 때 0이 된다. TF (트랩 플래그) : 디버깅 용도로 사용되며, x86 프로세서는 이 ah플..

출제사이트 : https://codeengn.com/ CodeEngn.com [코드엔진] 코드엔진은 국내 리버스엔지니어링 정보공유를 위해 2007년 부터 리버스엔지니어링 컨퍼런스 및 비공개 워크숍을 현업 실무자들과 함께 운영하고 있습니다. 리버스엔지니어링이라는 하나의 큰 주제로 소프트웨어 보안에 대한 다양한 시각과 연구주제에 대한 정보공유를 추구하고 있으며, 상업적 이익 없이 작은 예산으로 운영하고 있어 큰 예산으로 운영하는 다른 컨퍼런스에 비해 여러 가지로 부족 할 수 있습니다. codeengn.com 문제에 프로그램을 받아 일단 실행해봤습니다. 문제가 등록키를 찾으라는 것이고, 프로그램 또한 올바른 이름과 등록키를 입력하면 풀리는 문제임을 알겠네요. PE파일 뷰어로 확인했는데, 프로그램이 UPX(패킹..

참고문 : 리버싱 핵심원리, 이승원 CPU 레지스터란 ? : 레지스터(Register)란 CPU 내부에 존재하는 다목적 공간입니다. 메모리인 RAM과의 차이점은 CPU가 RAM에 있는 데이터를 액세스하기 위해서는 물리적으로 먼 길을 돌아가 시간이 오래걸린다. 하지만 레지스터는 CPU와 한 몸이기에 고속으로 데이터를 처리할 수 있습니다. 1) 범용 레지스터 : 범용 레지스터는 이름처럼 범용적으로 사용되는 레지스터들입니다. IA(Inter Architecture)-32 에서 각각의 범용 레지스터들의 크기는 32비트(4바이트)입니다. EAX, EBX, ECX, EDX는 보통 상수/주소 등을 저장할 때 주로 사용된다. ECX는 반복문 명령어(LOOP)에서 반복 카운트(loop count)로 사용됩니다. (루프를..

참고문 : 리버싱 핵심원리, 이승원(2012) 리버싱 (Reverse Engineering, RE) ? : 역공학, 물건이나 기계장치 혹은 시스템 등의 구조, 기능, 동작 등을 분석하여 그 원리를 이해하며 단점을 보완하고 새로운 아이디어를 추가하는 일련의 작업. 분석(리버싱) 방법 1 - 정적 분석 : 파일의 겉모습을 관찰하여 분석하는 방법으로 파일을 실행하지 않고 분석하는 방법이다. 파일의 종류(확장자), 크기, 헤더 정보, 내부 문자열, 디버깅 정보 등의 다양한 내용을 확인하는 것이다. 2 - 동적 분석 : 파일을 직접 실행시켜서 그 행위를 분석하고, 디버깅을 통하여 코드 흐름과 메모리 상태 등을 자세히 살펴보는 분석방법이다. 파일, 레지스트리, 네트워크 등을 관찰하면서 프로그램의 행위를 분석한다. ..