끄적끄적

RE03.exe의 key값은 레지스터에 저장되어 있어서 Resourse Hacker와 ollydbg를 사용하거나 Procmon.exe라는 파일을 통해 레지스트리의 위치를 알고 regedit을 통해 알아보는 방법으로 찾을 수 있다. 두 가지 서술해 보겠다. 다음과 같은 프로그램인데 RE02.exe와 같이 Resourse Hacker를 이용해서 Is this Right? 이벤트 버튼의 값을 보면 1001이고 이를 Hex로 바꾸면 3E9. Memory window에서 .rdata를 통해 dump 뜬 창에 little endian 방식으로 나열하면 'e9 03 00 00 e9 03 00 00'를 이용하여 RE02.exe와 같은 방식으로 풀면 된다. 다소 이상하지만 간단하고도 야매적인 방법으로도 풀 수 있는데 마..

RE02.exe는 파일 내에 key값이 저장되어 있다. 따라서 파일을 보기 위해 ollydbg를 사용 할 것이다. 이전에 사진을 보면 value를 입력하고 그 value에 따라 key값이 생성되는 이벤트를 이용하여 key값을 얻을 것이다. ollydbg를 켜 보자. 일단 RE02.exe 파일에서 이벤트 실행되는 부분의 값을 보고 그것을 memory window를 띄운 다음, 그 곳에서 .rdata 부분을 dump를 본다. value값을 입력하고 create하는 이벤트 버튼을 통해 값을 알아보기 위해 Resourse Hacker를 이용해 보자. 실행 장면은 다음과 같다. create 버튼의 값이 1002인 것을 알 수 있는데, 이 값을 Hex값으로 바꾸면 3EA이다. 이것을 dump 뜬 창에 little ..

Segment : Offset컴퓨터는 BUS라고 불리는 일련의 전선을 통해 연결되어 있다고 한다. RAM으로 연결된 BUS는 16비트이다. 그래서 RAM에 자료를 쓰기 위해 프로세스는 16비트 로케이션을 BUS를 통해 보낸다. 허나 예전에는 메모리에 한계가 있었기 때문에, 디자이너들은 20비트를 BUS를 통해 보낼 수 있는 방법을 착안했다. 일단, 1MB를 허용하여 메모리는 바이트의 집합체인 Segment로 분리하였다. 그리고나서 그 Segment에 Offset번호를 지정함으로써 메모리에 접근하였다. 그래서 프로세서가 메모리에 접근할 때, 세그먼트 번호를 보내고 Offset번호를 보냈다. 이를 통해 물리적 주소를 구할 수 있는데, 방법은 다음과 같다.Segment x 10h( h = 16진수임을 나타냄)..