공부
Frame Pointer Overwrite - 공유
https://qhdks.tistory.com/100#:~:text=FPO%EB%8A%94%20Saved%20Frame%20Pointer,%EC%84%9C%EB%B8%8C%20%ED%95%A8%EC%88%98%EA%B0%80%20%ED%95%84%EC%9A%94%ED%95%98%EB%8B%A4.&text=1.%20SFP%20%EC%98%81%EC%97%AD%EC%97%90%EC%84%9C%201%20%EB%B0%94%EC%9D%B4%ED%8A%B8%20%EC%98%A4%EB%B2%84%ED%94%8C%EB%A1%9C%EC%9A%B0%EA%B0%80%20%EB%B0%98%EB%93%9C%EC%8B%9C%20%EC%9D%BC%EC%96%B4%EB%82%9C%EB%8B%A4. Frame Pointer Over..
11장 Lena's Reversing for Newbies
어느덧 1부 마지막이다. 쌩 기초를 다 끝내려면 아직 먼 것 같다. 📖 1) 문제 파악 우선 먼저 실행해보자. 모든 성가신 잔소리를 없애고 registration code를 찾으라고 한다. MsgBox가 매우 많이 나올 것 같은 예감이다. 그냥 평범하게 생긴 것 같다. asdf로 Regist 해보자. 잘 실행되는 것은 확인이 된다. x32dbg로 뜯어보도록 하자. (성공한다면, IDA로도 뜯어보자.) 저번에 이런 코드를 봤던 것 같다. 간접호출 아니었나 ?? (00401162 주소에서 ThunRTMain 함수가 보인다.) Registration Code를 어떻게 찾을 지 생각해보자. 먼저 문자열들을 보자 프로그램을 실행했을 때 확인할 수 있는 문자열들이 나온다. 해당 주소로 가보자. 004028BD 주소..
Vulnerability for RTOS
https://nvd.nist.gov/vuln/detail/CVE-2021-3420 NVD - CVE-2021-3420 CVE-2021-3420 Detail Current Description A flaw was found in newlib in versions prior to 4.0.0. Improper overflow validation in the memory allocation functions mEMALIGn, pvALLOc, nano_memalign, nano_valloc, nano_pvalloc could case an integer overflow, lead nvd.nist.gov A flaw was found in newlib in versions prior to 4.0.0. Improp..
10장 함수 호출 규약 (Calling Convention)
함수 호출 규약 (Calling Convention)에 관하여 알아보자. (학교 수업시간에 간단하게 듣기는 했다.) 1. 함수 호출 규약 Calling Convention은 '함수를 호출할 때 파라미터를 어떤 식으로 전달하는가?' 에 대한 일종의 약속이다. 우린 이미 함수를 호출하기 전에 파라미터를 스택을 통해 전달한다는 것을 알고있다. 스택이란, 프로세스에서 정의된 메모리 공간이며 주소가 줄어드는 방향으로 자라난다. PE헤더에 그 크기가 명시되어있다. 즉 프로세스가 실행될 때 스택 메모리의 크기가 결정된다. (malloc, new 같은 동적메모리는 영역이 다르다. 그래서 꼭 free를 해주어야 한다.) 함수가 실행완료 되더라도 스택내의 파라미터는 그대로 둔다. 스택에 저장된 값은 임시로 사용하는 값이기..
9장 Process Explorer
아직 8장을 완벽하게 끝낸 것은 아니다. 하지만 3개월 가량 이 책을 공부하지 않았고 다시 8장을 공부한다는 것은 비효율적이라 생각이 되기에 먼저 9장을 나가자. 나는 세계 최고의 해커가 될거니까 ㅎㅎ 1. Process Explorer Windows 운영체제에서 최고의 프로세스 관리 도구라고 한다. https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer Process Explorer - Windows Sysinternals Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. doc..