리버싱 입문 1.7 리버싱에 필요한 도구

PE 파일 분석 프로그램

PEView

• 한눈에 PE 구조를 볼 수 있다.
• PEView 에서 받을 수 있다.

Detect It Easy

• PE 구조, 프로그램을 개발한 언어, 패킹 여부 정보 제공한다.
• die 통해 파일 수정 가능하다.
• Detect It Easy 에서 받을 수 있다.

 

메모리 덤프

OllyDumpEx : OllyDbg 플러그인

• OllyDumpEx 사이트에서 파일을 받아서 OllyDbg 플러그인 폴더에 넣는다.

IDA, x32dbg/x64dbg

• OllyDbg 뿐만 아니라 IDA, x32dbg/x64dbg 모두 메모리 덤프 기능을 제공한다.

 

손상된 IAT 복구 프로그램

LoadPE

• LoadPE 사이트에서 파일을 받을 수 있다.
• 압축을 풀고 설치 없이 LordPE.exe 실행하여 사용할 수 있다.
  
• Rebuild PE를 선택해서 IAT를 복구할 PE 파일을 선택한 후, OK를 클릭하면 IAT 재구성이 완료된다.

 

 

디스어셈블러 도구

설명 지극히 주관적. 사용 경험에 따른 설명입니다.

IDA

• Graph View, 스도코드, 어셈블리 코드 등 UI를 잘 표현하여 전 세계적으로 많이 사용하는 디스어셈블러 도구이다.
• 기본적으로 리버싱에서 사용하는 기능 이외에도 알지 못하는 유용한 기능들이 많다고 한다.
• x86 디스어셈블러는 제공하지 않고 IDA Pro보다 제한적인 기능을 제공하지만, IDA freeware 버전도 리버싱을 진행하기에 충분한 기능을 제공하고 있다.
• IDA Download

 

Binary Ninja

• 디스어셈블한 코드를 고급언어와 유사하게 스도코드로 보여줄 때 IDA보다 더 뛰어나게 함수 구조를 분석해줄 때도 많은 것 같다.
• 원하는 기능을 사용하기 위해 따로 툴을 익힐 필요가 없는 것 같다.
• Binary Ninja Download

 

Ghidra

• IDA나 Binary Ninja는 유료지만, Ghidra는 무료로 많이 사용하는 디스어셈블러 툴로 알고 있다.
• Ghidra Download

 

Windbg

• MicroSoft에서 제공하는 디버깅 도구이다.
• Windbg Download
• windows10 sdk을 다운받고 설치 진행 시 Debugging Tools for Windows를 선택하면 Windbg를 설치할 수 있다.

 

Ollydbg

• Ollydbg Download

 

x32dbg/x64dbg

• 간단히 몇 가지 기능만 익히면 파일 분석 시 디버깅을 하거나, 메모리 덤프를 하는 것이 편리하여 리버싱 도구로 좋다.
• x64dbg

 

CheatEngine

• 상수 값 등을 통해 원하는 변수를 찾아 어떤 어셈블리 코드에 쓰이는지 알 수 있다.
• 카카오톡, 게임 등 실행 파일 동작을 분석하는데 유용하다.
• Code Injection 기능 등으로 값을 변조하여 원하는 기능을 하도록 할 수 있다.
• Cheat Engine Download