Sean :: Dev

분기1) name값이 4자리 이상이면 eax가 0이고, 4자리 미만이면 FFFF..로 TEST AX, AX 연산을 통해 점프문 분기. 이후 반복문을 돌며, name으로 serial값 생성 (비트단위 반복 연산_생략) 분기2) - MOV DWORD PTR SS:[EBP-94],EAX EAX가 가리키는 값(serial값 ex.4444)을 스택 ebp-94에 복사한다. [memory] eax = 465AAC [stack] LEA 명령어를 통해 EBP-44,34의 주소값을 edx,eax에 복사한후, 스택에 push한다. 이후 함수를 호출하고, TEST AX AX 결과에 따라 점프분기한다. 역시 분기흐름을 임의로 바꿔주면 다음과같이 창이 뜨긴 한다. MOV vs LEA EBP = 0019F2B0 , EBP-88 ..

조건문 int Temp(int a) { int b = 1; if (a == 1) { a++; } else { b++; } return b; } int main(int argc, char* argv[]) { Temp(1); } VS_disassemble Olly 반복문 int loop(int c) { int d = 0; for (int i = 0; i

Help_About Help_Register 아무값이나 입력하면 다음과 같은 창이 뜬다. Register창이 뜨는부분에 breakpoint를 걸고 따라가보았다. 메인코드 CALL DialogBoxParamA()함수를 통해 Register창을 띄우고 값을 입력한뒤 돌아오면 위의 상태이다. ASCII로 내가 입력한 값이 들어가있는것을 확인할 수 있다. 회색 음영라인에서 CMP비교후 JE 점프문에 의해 분기가 나뉘는게 보인다. 분기가 나뉜후, CALL하는 두 MessageBox 물론, 분기가 나뉘는 부분에서 점프문or플래그를 패치하면 다음과 같은 창을 볼 수 있긴하다. 좀더 자세히 프로그램이 원하는것을 알아보자. 그런데 여기서 name과 serial값 모두 스택에 넣고 어떠한 주소를 call하는 과정을 거치는..

[분석] scanf로 입력받은 "123"과 "Asm07REC"를 strcmp로 비교함. 이후, ADD ESP 3C로 스택을 날리고 JNZ SHORT 690010F3에서 분기가 나뉜다. - 자세히는, strcmp에서 두 문자열이 같으면 eax가 0으로, 다르면 FFFFFFFF로 돌아온다. 이후 TEST eax eax를 통해 ZF가 1/0으로 세트되고, JNZ문에서 ZF값에 따라 분기 흐름. * Z Flag & JZ,JE,JNZ,JNE... - Jump if Zero=Equal - ZF=1이면 실행됨 (Zero Flag가 1(On)이라는건, "Zero라는것"="연산결과가 0이라는것") - JNZ=JNE는 반대 * TEST [Operand1] [Operand2] TEST연산은 두 피연산자를 AND연산하여 그 ..

* Ollydbg 사전 환경설정 - udd, plugins 폴더 생성 및 경로 설정 - Option/debugging/start/~from entry point of main module -> 편리함 할일 : HDD를 CD-ROM으로 인식되도록 하자. ollydbg attach PE Tool ImageBase + Add. of EP = 401000에서 시작되는것을 디버거에서 확인가능. - IAT(Import Address Table)에 있는 API를 호출하는 경우는, JMP DWORD PRT DS:[함수주소] 와 같은 방식으로 사용되는것도 확인할 수 있다. - Step Over(F8) vs Step Into(F7) - 일반적으로 USER32, KERNEL32와 같은 시스템DLL은 패스 - Breakpoi..