2013. 3. 25. 11:49
728x90
출처 : http://binoopang.tistory.com/145
REMOTE IDA 설정이 되었다면 MBR 코드를 보기위한 16비트로 설정변경 부분이다
IDA로 디버깅하다가 아주 특수한 경우에 32bit에서 16bit로 모드가 전환될 때가 있습니다. 그런데 이 때 디스어셈블 뷰에서 그걸 인식하지 못하고 16bit 어셈블리 코드를 계속 32bit로 해석할 때가 있습니다. 이렇게 되면 리버서는 점점 미쳐가기 시작합니다 -_-;; 완전 이상한 명령어를 화면에 뿌려주기 때문이죠 .. 이럴 때는 문제가 되는 그 세그먼트의 모드를 변경해 주면 아~~ 주 쉽게 해결 됩니다. 문제의 세그먼트를 Edit Segment(ctrl+s) 해주면 다음과 같은 다이얼로그가 뜨지요.
네 위 다이얼로그에서 16-bit segment 인지 32-bit segment 인지 선택해 주면 그 이후엔 선택한 모드로 해석이 됩니다. 와 .. 정말 몇 일간 이걸 몰라서 완전 고생했군요 ^^ 역시 IDA에는 생각할 수 있는 대부분의 기능들은 구현이 되어 있는 것 같습니다.
네 위 다이얼로그에서 16-bit segment 인지 32-bit segment 인지 선택해 주면 그 이후엔 선택한 모드로 해석이 됩니다. 와 .. 정말 몇 일간 이걸 몰라서 완전 고생했군요 ^^ 역시 IDA에는 생각할 수 있는 대부분의 기능들은 구현이 되어 있는 것 같습니다.
728x90
'분석' 카테고리의 다른 글
| 악성 문서에 대한 확인방법(PDF,MSDOC) (0) | 2013.05.10 |
|---|---|
| doc 문서를 이용한 mac 감염샘플 (0) | 2013.04.26 |
| REMOTE IDA 설정 (0) | 2013.03.25 |
| MBR 분석을 위한 WINDBG 단계 (0) | 2013.02.05 |
| 악성코드 분석에 도움이 될만한 사이트 정리 (0) | 2013.01.30 |