유사컴공 낙서장

# disass main - 내용 스택 프레임 push ebp 베이스 포인터를 스택에 입력 mov ebp, esp sub esp, 0x8 and esp,0xfffffff0 mov eax,0x0 sub esp,eax sub esp,0x4 push 0x3 push 0x2 push 0x1 call 0x80482f4 * function 함수 내부 push ebp mov ebp,esp sub esp,0x28 leave ret * main으로 복귀 add esp,0x10 mov eax,0x0

0x0804835c :push ebp 0x0804835d :mov ebp,esp ;함수 프롤로그 0x0804835f :push edi 0x08048360 :push esi 0x08048361 :sub esp,0x20 0x08048364 :and esp,0xfffffff0 0x08048367 :mov eax,0x0 0x0804836c :sub esp,eax 0x0804836e :lea edi,[ebp-24] ;edi의 주소값을 ebp-24에 저장 0x08048371 :mov esi,0x804845c 0x08048376 :cld 0x08048377 :mov ecx,0xe 0x0804837c :repz movs es:[edi],ds:[esi] 0x0804837e :sub esp,0xc 0x08048381 :p..

시작하기 전:x32dbg로 진행했습니다. x64dbg는 실행파일 문제인지 디버깅이 되지 않음.당연히.... 32비트에서 굴러가는 실행파일을 64비트 전용 디버거로 돌리려 하면 돌아가겠습니까(...) F9로 엔트리 포인트 진입.첫번째 call 함수를 확인하기 위해 F8로 진행. 첫번째 call로 호출한 MessageBoxA 함수에 도달하면 위와 같은 메세지 창이 뜬다.다시 F9를 이용하여 createfileA 함수를 call 하는 곳 까지 이동한다.https://docs.microsoft.com/en-us/windows/desktop/api/fileapi/nf-fileapi-createfileaHANDLE CreateFileA( LPCSTR lpFileName, DWORD dwDesiredAccess, D..

USER32.MessageBoxA 함수 호출.(USER32 dll에서 함수 호출)https://docs.microsoft.com/en-us/windows/desktop/api/winuser/nf-winuser-messageboxint MessageBox( HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType); 사진에서 첫번째 PUSH의 0은 마지막 변수, 두번째 PUSH의 0은 맨 첫번째 변수. 좌측 하단에서 push 한 값들 스택으로 확인할 수 있음.F8로 한줄씩 실행, call 들어가서 프로그램이 실행 된 모습. KERNEL32.GetDriveTypeAhttps://docs.microsoft.com/en-us/windows/desktop/api/fil..