한국 노래중 좋다고 생각하는 노래.....이시영 충분히 매력넘치고 좋은 목소리 또한 매력 넘치치
거미....윤미래누님이랑 같이 좋아하는 가수중 하나...특히나 ㅡㅡ 요즘 공감가서 슬픈노래....적어도 한번
은 내생각해주길 바라는 사람이 있었기에...
| 스터디로 참고하기 좋은 사이트 (대학 강의 사이트) (0) | 2015.03.13 |
|---|---|
| 피오라 러브포이즌 향수 시향 이벤트 (0) | 2015.01.16 |
| it's raining man (0) | 2014.04.30 |
| 주택청약할때 참고할마한 사이트 (0) | 2014.04.10 |
| 대학교때 공모전에 냈던 동영상...푸하하하 (0) | 2014.04.07 |
아놔 미친중국애들;;;;ㅠ 뱅커하나에 무슨 파일바이러스 로직으로 넣는다냐;;
파일 랜덤; 디렉토리 랜덤;;파일 헤더 랜덤;; 쓰레키 코드로 사이즈 크기 랜덤;; 그나마 다행인건 아직 잡을 수 있는 공통된 부분이 있다는점....레지스트리값 및 특정 바이너리값 공통된 부분...우선 내일 로직으로 만들어봐야하겠다. 후후.. 방패는 약하지않아요~
------------------------------------------------------
헤더 및 쓰레기 코드만 덫붙임...치료로직 간단. 그냥 중간 몸체 부분 crc값으로 삭제하면 모두 삭제
가능...확인 후 그냥 패스
| 메모리에 올라온 데이터 리버싱할때 (0) | 2014.07.18 |
|---|---|
| yoda unpacking[1부] (0) | 2014.07.08 |
| [진행중]MPRESS unpacking (0) | 2014.04.26 |
| vb 분석할때 방법 (0) | 2014.04.21 |
| 관리자 그룹으로 권한 상승위함 코드(CreateWellKnownSid, EqualSid ) (0) | 2014.04.17 |
그동안 우피골드 누님이 부른줄알았던...남자가 비처럼 내린다...ㅎㅎ
이래서 브리진 존슨이 유명한거였구나....ㅎㅎ
진짜 좋은 노래ㅎㅎㅎ 정말 이노랜!!! 명곡이다!ㅎㅎ
그리고 진심 아 섹시합니다. 어찌 이렇게 매력적이실까...ㅠ
| 피오라 러브포이즌 향수 시향 이벤트 (0) | 2015.01.16 |
|---|---|
| 내 생각 날거야 - 거미(이시영) (0) | 2014.05.12 |
| 주택청약할때 참고할마한 사이트 (0) | 2014.04.10 |
| 대학교때 공모전에 냈던 동영상...푸하하하 (0) | 2014.04.07 |
| 아우 ie 복구탭 무한 반복 고치는 법 (0) | 2014.03.20 |
해외에서 접수된 packer mpress로 팩킹된것으로 해외자료를 토대로 unpacking을 시도 중이다.
해당파일을 처음에 올리에 올리게되면 다음과 같은 바이너리가 존재한다. 처음 시작부분은 PUSHAD로 시작되며 다음 코드로 CALL이 존재하고 있다.
여기서 우리는 COMMAND 명령으로 BP를 건다.
bp VirtualProtect
해당 BP에 BREAK가 걸리면 다음과 같은 바이너리가 존재하는것을 확인 할 수 있다.
7C801AD4 > 8BFF MOV EDI, EDI ; NoStealt.0040015F
7C801AD6 55 PUSH EBP
7C801AD7 8BEC MOV EBP, ESP
7C801AD9 FF75 14 PUSH DWORD PTR SS:[EBP+14]
7C801ADC FF75 10 PUSH DWORD PTR SS:[EBP+10]
7C801ADF FF75 0C PUSH DWORD PTR SS:[EBP+C]
7C801AE2 FF75 08 PUSH DWORD PTR SS:[EBP+8]
7C801AE5 6A FF PUSH -1
7C801AE7 E8 75FFFFFF CALL VirtualProtectEx
7C801AEC 5D POP EBP ; NoStealt.004076F3
7C801AED C2 1000 RETN 10
해당 바이너리에서 RETN 10을 통해 본래 코드로 돌아오게 되면 스크롤을 밑으로 내려가면서 특정 바이너리를 찾아야 한다. 거진 맨 밑 부분의 코드 부분에 다음과 같은 바이너리들이 존재하는것을 확인 할 수 있다.
0040774D E8 00000000 CALL 00407752
00407752 5F POP EDI ; NoStealt.0040015F
00407753 81C7 EEFEFFFF ADD EDI, -112
00407759 B0 E9 MOV AL, 0E9
0040775B AA STOS BYTE PTR ES:[EDI]
0040775C B8 1E010000 MOV EAX, 11E
00407761 AB STOS DWORD PTR ES:[EDI]
00407762 61 POPAD
00407763 ^ E9 8D9AFFFF JMP 004011F5
해당 바이너리는 OEP로 가기위한 JMP가 존재하며 JMP로 가면 OEP가 존재한다고 되어있는데...!!! 내가 보는건 OEP가 아니였다; 그래서 아직 진행중이다...ㅠㅠ
참조 사이트 : http://blog.kaffenews.com/2011/02/09/freeware-packers-mpress-part1/
---------------------------------------------------------------------------------
위에 글이 매우 써보니 길다...간단하게 확인하는 법
맨 아래 부분에서 이 바이너리를 찾으면 된다. 끝
00407762 61 POPAD
00407763 ^ E9 8D9AFFFF JMP 004011F5
| yoda unpacking[1부] (0) | 2014.07.08 |
|---|---|
| 이번에 분석을 하면서 느낀점... (0) | 2014.04.30 |
| vb 분석할때 방법 (0) | 2014.04.21 |
| 관리자 그룹으로 권한 상승위함 코드(CreateWellKnownSid, EqualSid ) (0) | 2014.04.17 |
| 가상머신인지 확인하는 어셈코드 (0) | 2014.04.07 |
생각보다 usb나 원격을 작업할때 포터블 하나로 편하게 볼수있다. ~ㅎㅎㅎ 쓰는툴은 하나씩 올려야지...시간나면....
n드라이브 30일 공유일겁니다~
| SSDEEP - 해쉬 유사도 비교 툴 (0) | 2015.09.04 |
|---|---|
| 한글 문서 분석할때 유용한 툴 (0) | 2015.06.23 |
| 쉘코드 분석 툴 (0) | 2014.10.22 |
| 64비트 올리디버거 (0) | 2013.11.20 |
| XueTr툴 (0) | 2011.08.05 |
