근황

잡글 2019. 4. 26. 15:23

학교수행평가로 악성코드 관계 시각화를 제작중이다.

플젝때 결과물과는 다른 조건으로 말이다....

'잡글' 카테고리의 다른 글

요즘 근황  (1) 2018.11.03
오랜만에 생각나서 쓰는 글  (1) 2018.07.15
angr 다시 정리 해야 겠네요  (0) 2018.04.23
블로그 시작  (2) 2017.11.08

WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

요즘 근황

잡글 2018. 11. 3. 01:21

악성코드 유사도 분석 알고리즘쪽으로 공부하면서 구현하고 있다.

그 과정에서 나름 새로운 방법도 생각하게 되었다.


정확히 어떤 방식인지는 프로젝트내 기밀사항?이라 말하기는 어려울 것 같다...


구현하면서 느끼는 것은 python은 진짜 개사기 언어라는것

python씁시다 진자....

'잡글' 카테고리의 다른 글

근황  (1) 2019.04.26
오랜만에 생각나서 쓰는 글  (1) 2018.07.15
angr 다시 정리 해야 겠네요  (0) 2018.04.23
블로그 시작  (2) 2017.11.08

WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

아마 완전한 잡담글은 이게 처음일 것 같다.


BoB 디지털포렌식트랙에 합격하게 되었다. 

합격자 명단을 보니 고등학생이 나랑 다른 한명으로 총 2명이였다.

지원서를 넣기전에 디지털포렌식트랙은 이번기수에서 고등학생을 뽑지 않는다는 소문을 들었었는데 뽑힌것이 의아 했다. 아직도 어떻게 뽑혔는지 의아하다.

 

다니고 있는데 과제가 많다.

근데 다른 트랙 과제도 들어보니 만만치 않아서 불만을 가지지는 않고 있다.

수업내용들이 대부분 처음접하는거라 너무 어렵게 느껴진다. 리버싱 공부 할 시간 쪼개서 포렌식공부도 해야했나 생각도 많이 든다.


다행인건 원하던대로 악성코드분석 수업이 있다는 것 이였다. 근데 이 부분은 분명 공부를 해본 경험이 있는데도 다른 것보다도 어렵게 느껴졋다. 공부가 많이 부족하다.


과제도 하면서 이제 themida 최신버전 full protect를 풀어보고자 한다. 예전에 한건 스크립트도 나와있고 정보도 찾으면 잘 나와서 거의 배껴하는 거나 마찬가지였으니 이번에는 스스로 처음부터 하고자 한다.


그래도 재미있다.

자신의 주분야가 리버싱이라고 생각하면 포렌식으로 오는 것도 괜찮을 것 같다. 리버싱하면서 쌓은 지식들이 도움이 많이 될 것이다.

물론 필자처럼 얕게 쌓으면 도움이 별로 안된다...


'잡글' 카테고리의 다른 글

근황  (1) 2019.04.26
요즘 근황  (1) 2018.11.03
angr 다시 정리 해야 겠네요  (0) 2018.04.23
블로그 시작  (2) 2017.11.08

WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

angr 기억이 안나서 문서를 다시 봤는데 바뀐점이 많네요... 너무 자주 바뀌는거 아닌가

'잡글' 카테고리의 다른 글

근황  (1) 2019.04.26
요즘 근황  (1) 2018.11.03
오랜만에 생각나서 쓰는 글  (1) 2018.07.15
블로그 시작  (2) 2017.11.08

WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

동방프로젝트(이하 동프)를 분석하고 오토봄을 만들어 보자!

(코딩편) - 피탄을 감지 하자!


0. 동방프로세스를 읽어온다.

1. readprocessmemory를 통해 0x477834에 있는 ebp값을 받아온다.

2. readprocessmemory를 통해 ebp+478에 있는 값을 실시간으로 받아온다.

3. 읽어온 값이 02면 'x'키를 입력하여 봄을 사용하게 한다.

4. 1부터 반복

저번에 이야기 했던 코딩 계획입니다.

이번에는 0~2까지만 하겠습니다.


#include "stdio.h"
#include "windows.h"
#include "tlhelp32.h"
#include "stdlib.h"

#pragma warning(disable : 4996)
#define DEF_PROC_NAME ("th10.exe")

DWORD FindProcessID(LPCTSTR szProcessName);
BOOL hack_start(DWORD dwPID);

int main(int argc, char* argv[])
{
	for (;;) {
		int a;
		printf("풍신록 오토봄 프로그램입니다. 풍신록을 실행 후 '1'을 입력해 주세요. ");
		scanf("%d",&a);
		if (a == 1)break;
		else printf("잘못된 값 입니다.");
	}
	DWORD dwPID = 0xFFFFFFFF;

	// find process
	dwPID = FindProcessID(DEF_PROC_NAME);
	if (dwPID == 0xFFFFFFFF)
	{
		printf("풍신록 감지 실패\n");
		system("pause");
		return 1;
	}
	
	if (!hack_start(dwPID))printf("메모리 구하기 실패\n");
	system("pause");
	return 0;
}

DWORD FindProcessID(LPCTSTR szProcessName)
{
	DWORD dwPID = 0xFFFFFFFF;
	HANDLE hSnapShot = INVALID_HANDLE_VALUE;
	PROCESSENTRY32 pe;

	// Get the snapshot of the system
	pe.dwSize = sizeof(PROCESSENTRY32);
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);

	// find process
	Process32First(hSnapShot, &pe);
	do
	{
		if (!_stricmp(szProcessName, pe.szExeFile))
		{
			dwPID = pe.th32ProcessID;
			break;
		}
	} while (Process32Next(hSnapShot, &pe));

	CloseHandle(hSnapShot);

	return dwPID;
}

BOOL hack_start(DWORD dwPID)
{
	HANDLE hProcess;

	// #1. dwPID 를 이용하여 대상 프로세스(th10.exe)의 HANDLE을 구함
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
		return FALSE;
	
	for (;;) {
		DWORD address = { 0x477834 };
		DWORD buffer = 0;
		bool uak = false;
		//메모리에 저장된 EBP값 읽어옴
		ReadProcessMemory(hProcess, (LPVOID)address, &buffer, 16, NULL);
		
		//메모리에 저장된 피탄 후 프레임 카운트를 받음
		address = { buffer + 0x478 };
		//프레임 카운트 읽어옴
		ReadProcessMemory(hProcess, (LPVOID)address, &buffer, 16, NULL);
		if (buffer == 0&&!uak) {
			printf("피탄감지!\n");

			uak = true;
			
			//SendMessage((HWND)hProcess, WM_KEYDOWN, 0x50, 0);
			continue;
		}
		if (buffer != 2 && uak) {
			uak = false;
			//SendMessage((HWND)hProcess, WM_KEYUP, 0x50, 0);
		}

	}
	return TRUE;
}


미완성 소스지만 이번 글을 쓰기에는 충분 한 소스입니다.



일단 사용한 주요함수부터 알아 봅시다.

1. ReadProcessMemory : 말 그대로 입니다. 지정된 프로세스의 메모리를 읽어 오는 함수 입니다.


2. FindProcessID : http://reversecore.com/40에서 가져온 함수 입니다. 프로세스의 PID를 찾아주는 역할을 합니다



각 파트별로 설명하겠습니다.


	DWORD dwPID = 0xFFFFFFFF;

	// find process
	dwPID = FindProcessID(DEF_PROC_NAME);
	if (dwPID == 0xFFFFFFFF)
	{
		printf("풍신록 감지 실패\n");
		system("pause");
		return 1;
	}

풍신록이 실행 중인지 확인 합니다. 


DWORD FindProcessID(LPCTSTR szProcessName)
{
	DWORD dwPID = 0xFFFFFFFF;
	HANDLE hSnapShot = INVALID_HANDLE_VALUE;
	PROCESSENTRY32 pe;

	// Get the snapshot of the system
	pe.dwSize = sizeof(PROCESSENTRY32);
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);

	// find process
	Process32First(hSnapShot, &pe);
	do
	{
		if (!_stricmp(szProcessName, pe.szExeFile))
		{
			dwPID = pe.th32ProcessID;
			break;
		}
	} while (Process32Next(hSnapShot, &pe));

	CloseHandle(hSnapShot);

	return dwPID;
}

프로세스 목록을 확인 한 뒤 제가 찾는 프로세스(th10.exe)를 찾아 PID를 가져옵니다.


BOOL hack_start(DWORD dwPID)
{
	HANDLE hProcess;

	// #1. dwPID 를 이용하여 대상 프로세스(th10.exe)의 HANDLE을 구함
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
		return FALSE;
	
	for (;;) {
		DWORD address = { 0x477834 };
		DWORD buffer = 0;
		bool uak = false;
		//메모리에 저장된 EBP값 읽어옴
		ReadProcessMemory(hProcess, (LPVOID)address, &buffer, 16, NULL);
		
		//메모리에 저장된 피탄 후 프레임 카운트를 받음
		address = { buffer + 0x478 };
		//프레임 카운트 읽어옴
		ReadProcessMemory(hProcess, (LPVOID)address, &buffer, 16, NULL);
		if (buffer == 0&&!uak) {
			printf("피탄감지!\n");

			uak = true;
			
			//SendMessage((HWND)hProcess, WM_KEYDOWN, 0x50, 0);
			continue;
		}
		if (buffer != 2 && uak) {
			uak = false;
			//SendMessage((HWND)hProcess, WM_KEYUP, 0x50, 0);
		}

	}
	return TRUE;
}

피탄을 감지하고 x키를 누르는 부분입니다(아직 키를 누르는 곳은 구현 되지않음)

자세한 내용을 원하실 경우 댓글로 질문 해주세요.


WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

동방프로젝트(이하 동프)를 분석하고 오토봄을 만들어 보자!

(분석편) - 현재 몇프레임이 지났는지 알려주는 메모리를 찾자!


8프레임의 대기시간을 재는 곳은 찾았지만 오토봄을 코딩하려면 그 프레임이 저장되는 메모리 위치를 알아야 됩니다. 한 번 찾아 봅시다.


분명 같은 곳인데 실행 할 때마다 ebp가 변해서 위치도 계속 변합니다 ㅠㅠ

하지만 ebp같은 cpu 레지스터는 접근하기 어려워요 그래서 포기할까 하던중에....

한 분에게 질문을 했습니다. 그랫더니 레지스터까지 받는 것보단 메모리에서 승부를 보는 것이 좋을 것 같다고 하셧습니다. 그 말을 듣고 디버거를 다시 봤습니다.

ECX와 EBP가 같다는 것을 발견했습니다. 컴파일러 중에는 레지스터끼리 값을 옮길때 메모리를 거쳐서 옮기는 경우도 있으므로 메모리에서 찾아 보았습니다. 

코드를 조금만 내려 볼까요?

esi에 어떤 0x4776ec에 있는 값을 넣는 군요 어떤 값일까요?


메모리 주소를 저장 하네요.


덤프로 따라가 봅시다.

오오 뭔진 모르겠지만 메모리 주소들을 저장하고 있군요.

하지만 ebp주소인 0x7188b08은 보이지 않습니다.


하지만 이 주변 어딘가에 또 메모리주소를 저장하는 곳이 있을 겁니다. 스크롤을 내려보죠.


오 ebp와 값이 같은 것을 찾았습니다.

저 위치는 0x477834에요.







이제 코딩을 위한 계획을 짜 보도록 하죠


0. 동방프로세스를 읽어온다.

1. readprocessmemory를 통해 0x477834에 있는 ebp값을 받아온다.

2. readprocessmemory를 통해 ebp+478에 있는 값을 실시간으로 받아온다.

3. 읽어온 값이 02면 'x'키를 입력하여 봄을 사용하게 한다.

4. 1부터 반복


그럼 다음에 봐요~


WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

동방프로젝트(이하 동프)를 분석하고 오토봄을 만들어 보자!

(분석편) - 피탄 후 8프레임의 대기 시간을 찾자!


저번에 잔기가 줄어드는 부분을 찾았으니 이번에는 8프레임의 대기시간을 재는 곳을 찾아봅시다.



이 사진을 보면 가장 위에 $가 보일 겁니다.

저것이 의미 하는 것은 저부분이 함수의 시작부분이라는 것이고 그말은 즉슨 당연히 이 부분을 호출하는 곳이 있겠죠? 이런건 다 디버거가 알려준답니다.


sub_425AA3+1에서 호출 했다고 하네요. 이쪽으로 가볼까요?


찾았습니다! 하지만 이쪽에 오면 무조건 잔기가 줄게 되겠군요.

그러므로 피탄후 8프레임의 대기시간을 세는 곳은 이것보다 앞에 있을 겁니다.



스크롤을 조금만 올려보면...


찾았네요! 오토봄을 만드려면 저부분에 오는 순간 x키를 누르게 프로그램을 만들면 될겁니다. 그것에 대한 포스팅은 다음번에 하도록 하죠


WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

동방프로젝트(이하 동프)를 분석하고 오토봄을 만들어 보자!

(분석편) - 잔기가 줄어드는 곳을 찾자



동프는 게임내 값을 숨기거나 암호화를 하지 않습니다. 

그렇기 때문에 Cheat Engine을 통해 쉽게 잔기가 있는 메모리주소를 찾을 수 있습니다.



동프를 창모드로 켜줍시다.


그리고 Cheat Engine을 실행해서 동프를 선택해 줍시다.


당연히 플레이를 해야겠죠?


하지만 플레이 전에 해야 될이 있습니다.



현재 잔기가 2개죠?



Cheat Engine에서 2를 검색 해 줍시다.


그리고 열심히 플레이 하시다가....

.

맞아버려서 잔기가 달게 되면 일시정지를 하시고


잔기를 검색 해주시면 됩니다.


잔기가 있는 메모리위치를 찾았군요


이제 디버거에서 저 위치에 breakpoint를 걸어 줍시다

 

하드웨어 breakpoint로 걸어 줍시다.

이 상태에서 게임을 게속하다 잔기개수가 줄어들면 한 곳에서 멈추게 됩니다.



여기서 멈추게 되죠


각 코드별 설명은 사진에 주석을 달아 두었습니다.



일단 잔기가 다는 곳을 찾았으니 잠깐 쉬고 갑시다





WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

동방프로젝트(이하 동프)를 분석하고 오토봄을 만들어 보자!

(개념편)

17년11월08일 현재 오토봄 코딩 중



이 포스팅에서 다룰 개념은 총 2가지 입니다.

1. 피탄봄

2. 오토봄



피탄봄은 캐릭터가 탄막에 맞은 직후 8프레임(0.133초)안에 봄을 사용 함으로써 잔기(목숨)이 달지 않고 계속 진행하는 것을 의미 합니다. 


위 사진은 탄막에 맞은 직후 입니다. 저 상태에서 폭탄을 사용하면 잔기가 달지 않고 게임진행이 가능합니다.



하지만 피탄봄 사용가능 시간이 말이 8프레임이지 0.133초안에 눌러야 하는 것이므로 사실상 사람이 한다는 것은 탈인간들은 제외하곤 아주 힘들죠

이걸 자동으로 하는 것을 오토봄이라 합니다. 일종의 '핵'이죠



이번 글은 여기서 마치고 오토봄 만들기(2)에서 다시 만나요~




WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,

블로그 시작

잡글 2017. 11. 8. 12:54

리버싱, 포렌식, 네트워크를 배우고 있는 Dukup11ch1입니다.

이 블로그에는 컴퓨터 관련 글들과 제 덕질의 잔해들이 올라 갈 듯 합니다.


잘 부탁 드려요!

'잡글' 카테고리의 다른 글

근황  (1) 2019.04.26
요즘 근황  (1) 2018.11.03
오랜만에 생각나서 쓰는 글  (1) 2018.07.15
angr 다시 정리 해야 겠네요  (0) 2018.04.23

WRITTEN BY
Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다

,