Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 사이버테러
- 태백산 천제단
- Trup 부트 바이러스
- worm.win32.net-koobface
- 64비트 변수 출력
- Weather & Toggle Widgets
- 갤럭시s 음악끊김
- 난독화
- printf 64비트
- Wingraph32
- 갤스 음악끊김
- 갤스
- facebook 쪽지 악성코드
- 77 ddos
- linux LANG
- Protector
- MBR 부트 바이러스
- DDoS
- OllyGraph
- 하우리
- 시스템파괴
- AVAR 2010
- ida
- AVAR
- 7.7 ddos
- net-koobface
- OllyFlow
- linux 한글 깨짐
- Trup
- mbr
Archives
- Today
- Total
Mylabs
PEview Bug?? 본문
정말 오랜만에 포스팅인,,,
글 하나 올리기가 시간적인 여유나 꾸미기가 쉬운일이 아닌거 같다 'ㅁ'
앞으론 차곡차곡 잘 적어나가야 할듯 하다.
PE포멧을 보기위해 많이들 사용하는 PEview에서 문제점을 발견했다.
머 아시는 분들도 많겠지만, 오랫동안 쉬었던 블로그를 위해(?)....ㅎㅎ
[ 그림 1 ] 파일이름을 선택했을 때 계산된 VA값
[ 그림 2 ] 섹션이름을 선택했을 때 계산된 VA값
결론부터 말하자면, [그림 2]가 올바른 VA값을 나타내어 준다는 것이다.
[그림 1] 처럼 파일이름을 선택한 상태에서 우측분할창의 HEX값들은 정확히 RVA값을 통한 계산이 아닌
단순 파일의 첫 시작부터의 순차적인 offset에 ImageBase 값만 더한것으로 보인다.
분석할 시에 VA를 직접 계산할 수도 있지만, 조금이라도 편한것이 좋아 툴을 사용하는 것이니,
앞으로 PEview를 사용하다가 VA값을 알고 싶다면 원하는 위치를 파일이름을 선택한 상태가 아닌,
해당 섹션을 선택한 상태에서 확인해야 할 듯 싶다.
'RCE' 카테고리의 다른 글
| Ollydbg plugin - OllyFlow / OllyGraph (2) | 2010.05.06 |
|---|---|
| ollydbg plugin - StrongODv0.2.3 (1) | 2009.06.11 |
| ida pro 5.2 bug (0) | 2009.05.19 |
| Stack 의 구조 - Call문의 동작과 스택의 생성 (0) | 2009.05.01 |
| data code 분석을 위한 ida의 사용법 & Sality.L (0) | 2009.04.27 |
'RCE' Related Articles
more
