HACKABILITY

최종 수정: 2014-02-25 안녕하세요. Hackability 입니다. 오늘 포스팅 할 내용은 IDA에서 디컴파일시 발생하는 "positive sp value has been found" 에러에 대한 내용입니다. IDA에서 F5를 통해 디컴파일시 다음과 같은 에러 메시지가 발생할 수 있습니다. 위 내용은 스택 포인터가 양수 값을 갖는다는 에러 인데요. 스택 메모리 구조 상 지정된 주소는 초기 스택 포인터 보다 낮은 주소에 있어야합니다. (보통 변수를 선언하면 sub esp, 10h 등과 같이 말이죠) 그러므로, 이 에러 메시지가 뜨는 이유는 지정된 주소가 초기 스택 포인터보다 큰 주소에 있기 때문에 발생하는 에러 메시지 입니다. 먼저 예제를 확인해보도록 하겠습니다. 제가 디컴파일 에러가 발생한 위치는..

안녕하세요. Hackability 입니다. 이번에 작성할 내용은 IDA 에서 설정 오류로 인해 디컴파일이 안되는 상황을 해결하기 위한 내용입니다. 사실 제가 이것 때문에 강력한 IDA를 안쓰고 이뮤니티 디버거를 쓰고 있다가 필연적으로 IDA로 돌아와서 이 문제를 해결하고 포스팅을 합니다. IDA View에서 소스를 보기 위해 디컴파일 (F5)을 하면 아래와 같이 에러가 발생합니다.(검색 키워드: Decompilation failure: FFFFFFFF: wrong basic type sizes in compiler settings) 이를 해결하기 위해서는 Option -> Compiler 설정에서 적절한 값으로 변경을 해주어야 합니다. 제가 문제가 생겼던 옵션 설정은 다음과 같습니다. 여기서 보시면 si..

최종 수정 날짜: 2014-01-27 안녕하세요. Hackability 입니다. 이번에 작성할 내용은 프로퍼티 리스트 (Property List) 파일 시그니처와 관련 툴에 대해 포스팅 하도록 하겠습니다. 아래는 프로퍼티 리스트에 대한 위키 정보 입니다. (링크)프로퍼티 리스트는 Mac OS X, iOS, NeXSTEP, GNUstep 프로그래밍 소프트웨어 프레임워크 등에 이용되는 객체 직렬화를 위한 파일 이다. 또한, .plist 라는 확장자를 가지므로, 보통 plist 파일이라고 하는 경우가 많다. 프로퍼티 리스트 파일은 보통 사용자의 설정을 저장하는데 쓰인다. 또한, 번들과 애플리케이션 소프트웨어 정보를 저장하기 위해서도 사용되고, 이전 맥 OS에서는 리소스 포크 정보를 저장하는데에 사용되었다. 제..

안녕하세요. 악성 코드 내용을 보던 도중 Import Address Table에서 아래와 같은 것을 보게 되었습니다. + WS2_32.dllOrd(12)Ord(3)Ord(11)Ord(23)Ord(20)Ord(111)Ord(17)Ord(15)Ord(115)Ord(9) 이게 뭘까 하다가 찾아 보니깐 WS2_32.dll 의 함수에서 ordinal 이름으로 함수가 사용되어 저렇게 이름이 나오는 것을 알게 되었습니다. 그래서 WS2_32.dll과 wsock32.dll 에 대해 함수들이 ordinal 번호가 어떻게 맵핑이 되는지 찾아 보게 되었고 아래와 같음을 알 수 있었습니다. 사용한 툴은 Stud-PE 입니다 (http://www.cgsoftlabs.ro/dl.html) WSOCK32.dll Ord Name 1..

안녕하세요. 2014 Ghost CTF 문제를 풀면서 DLL을 수정해야 할 일이 있었는데 해당 DLL이 C#으로 제작되어 있어 Common Intermediate Language (CIL)을 접하게 되었습니다. 닷넷 환경에서는 프로세서 특유의 Object 코드가 아닌 Intermediate Language 코드로 변환되며 이는 플랫폼과 CPU 독립적인 명령어 세트 입니다. CIL은 스택 기반의 객체 지향 어셈블리이며 가상 머신을 통해 실행 됩니다. 아래는 CIL 명령어 집합입니다. OpcodeInstructionDescriptionType of instruction0x58add Add two values, returning a new value.Base instruction0xD6add.ovf Add s..