2011. 3. 31. 17:44
728x90
http://ezbeat.tistory.com/229
1. pe 구조에서 IMAGE_NT_HEADERS -> IMAGE_FILE_HEADER-> characteristics 부분을 수정시켜주어야 합니다. 해당 부분은 2byte로 이루어져 있는데 여기서 파일이 dll로 인식되게 할 것인지 exe 로 인식되게 할 것인지를 결정짓게 됩니다. 보통 dll인 경우 해당 값이 0x2102이고 exe인 경우 0x010F 값을 지니게 됩니다.
2. 1번을 수행했다면 해당파일의 확장자를 DLL에서 EXE로 바꿔줍니다.
3. DLL MAIN을 보시면 fdwReason 값이 DLL_PROCESS_ATTACH(1) 일 경우 동작을 하게 됩니다. 그렇기 때문에 강제적으로 fdwReason값을 무조건 1이 되도록 설정해버리면 됩니다.
위 3가지 과정이 전부입니다.
728x90
'리버싱' 카테고리의 다른 글
| CVE-2011-0222_WinXP_Exploit (0) | 2011.07.29 |
|---|---|
| ida 단축키 (0) | 2011.07.28 |
| Anti-Unpacker_Tricks (0) | 2011.03.31 |
| pe 참고 사이트. (0) | 2011.01.31 |
| 리버싱 툴들 (0) | 2011.01.20 |