HexRay 정말 물건이네요...



IDA 5.2 + HexRay를 어둠의 경로에서 구해서 한번 써봤습니다.
완전 장난아니군요 -_-

IAT Hook을 하는 소스를 HexRay로 돌려봤습니다.




사용자 삽입 이미지

놀랄 노자죠 ㅎㅎ
이정도면 머 거의 소스나 다름없죠 -.-
그간 왤케 고생해서 디스어셈블링을 공부한거지요 ㅎㅎ

일단 이 소스에서 간단히 파악할 수 있는 프세이드 코드로 변환될때의 특징은
1) 초반 코드로 사용되는 파라메타 검증 if문은 goto로 해석한다는것
    (하지만 머 위의 코드를 goto로 구현해도 실제로 컴파일러는 비슷하게 빌드해주니 별 상관없음)

2) 구조체에 대한 타입캐스팅은 이루어지지 않는다는거
    (머 되는 넘도 있겠죠? 하지만 일단 PE 쪽 구조체는 안 나오네요 ㅎㅎ)

3) 일부 멤버 변수는 걍 상수로 나와버립니다. 포인터로 바로 계산을 해버리는듯

4) 그냥 16진수로 표시해주는게 어떨까 하는 생각이 드는데... 23117 을 보고 한참 생각했다는 -_-
   (아시다시피 pIDH->e_magic 은 PE의 표식을 알려주는 MZ Header 값이죠)


어쨌든 헥스레이 정말 물건이네요
이걸로 상당한 시간절약을 할 수 있을 것 같습니다.
헥스레이 개발자.......정말 천재입니다.....감탄 !

신고
Posted by window31


댓글을 달아주세요

  1. 2008.01.09 15:03 신고
    댓글 주소 수정/삭제 댓글
    흐음.. 저도 써봤습니다 :)
    일반 어플이나 코드는 잘 나오더군요.
    게다가 RECStudio 보다 안정적이지만 아주 유사한 코드가 나오더군요.
    일단 IDA 를 사용하는 주 목적인 전체 흐름 보기에는 참 좋은것 같은데
    이게 악성코드에다가 대응시키게도면... IDA가 못읽는애들이 많아서 ㅠ_ㅠ)
    • 2008.01.10 14:24 신고
      댓글 주소 수정/삭제
      RECStudio저도 그닥 맘에 안 들던데 ㅎㅎ
      근데 IDA가 왜 못 읽어요? 프로텍팅 되어 있어서?
  2. 2008.01.09 16:41 신고
    댓글 주소 수정/삭제 댓글
    최신 기대작! 동영상으로 봐서는 잘모르겠던데...ㅎ
    나도 어둠의 경로에서 기웃거려봐야 겠삼..
    • 2008.01.10 14:24 신고
      댓글 주소 수정/삭제
      근데 경우에 따라 네트워크 락 걸려있는 넘들이 있음.
      같은 망 안에서는 1PC밖에 못 쓰는...
  3. s
    2008.01.10 07:49 신고
    댓글 주소 수정/삭제 댓글
    아직도 자고 있겠군요.ㅋㅋ
    부러운 회사를 다니시네요^^
    • 2008.01.10 14:25 신고
      댓글 주소 수정/삭제
      우리회사가 정상이고 너희 S사가 너무 빠른거야-_-
  4. 2008.01.10 13:25 신고
    댓글 주소 수정/삭제 댓글
    -_+ 물건이죠... 그래도 디스어셈블이 더 로망이 있다랄까요?ㅎㅎ
    • 2008.01.10 14:25 신고
      댓글 주소 수정/삭제
      ㅎㅎ 그쵸 헥스레이는 뭔가 반칙 같다는 ;
      정정당당한 대결을 위해서는 순수 디스어셈블링으로 ㅋ~
  5. 앞선이
    2008.08.02 10:52 신고
    댓글 주소 수정/삭제 댓글
    이런 희한한 도구도 있는가,,
    IDA5.2 + HexRay 좀 올려주세요,,
    저도 한번 써보고 싶은데,, 어떻게 구입해야 할지..
    부탁드립니다.

BLOG main image
by window31

카테고리

분류 전체보기 (285)
Reverse Engineering (22)
C, C++ (20)
Kernel (8)
Guitar (19)
잡담 (79)
etc (8)
who am i (8)
보안 이야기 (89)
Tools (3)
월간 마이크로소프트웨어/그.. (28)

글 보관함