[Lena] Lena Tutorial 21

이 프로그램의 패킹을 풀고 덤프를 하는 것이 목적이다.

윈도우 한글 인식 못 해서 글씨 다 깨짐 아놔

디버거로 열면 해당 코드들을 볼 수 있다.

(PUSHAD) 레지스터 값을 스택에 백업

(POPAD) 스택에 저장된 값을 다시 레지스터에 저장

PUSHAD ~ POPAD 부분에서 언패킹을 수행하며,

스택에서 레지스터들이 꺼내지는 순간 OEP로 진입한다.

언패킹 중 레지스터 변경 방지를 위해 백업/복구와 유사한 절차를 수행하는 것이다.

POPAD까지 실행하고 Dump debugged process를 통해 언패킹된 프로세스를 추출하면

오류가 난다.

프로그램 실행에 필요한 IAT가 누락됐기 때문에 발생한 오류다.

언패킹된 파일은 리소스 영역의 IMPORT Hints/Names가 없기 때문에

원본 실행파일의 IAT를 별도로 추출해서 덤프된 파일에 덮어 씌운다.

이를 ImportREC 툴을 이용하면 Address Tables를 복원할 수 있다.

현재 프로그램의 메모리 정보를 가져와서 IAT 재구성을 진행하는 프로그램으로,

보호되거나 압축된 PE 파일의 Import 정보를 재구성하기 위해 사용된다.

그러나 현재 툴을 다운 받을 수가 없다.....................................................

이제 어카지........................................................... 좀 더 해봐야겠다..............................

참고

Heechive - Information Security