Software Engineer English & Software Engineering Blog - Sean

Cheat Engine(CE)으로 포인터의 포인터를 찾아 보자.

CE을 실행하고 Help - Cheat Engine Tutorial 을 실행 한다.

Cheat Engine에서 Tutorial을 열어 준다.

Edit - Settings를 클릭하고 Cheat Engine settings 창이 열리면 Pointer adding: Append pointerline instead of insert를 체크 한다.

Tutorial에서 찾아야 하는 값인 3045를 First Scan 으로 찾아서 Address List에 추가 한다.

Address List에 추가된 주소는 첫 번째 포인터가 가리키는 주소와 그 주소에 저장된 값이다. 4 단계에 걸친 포인터를 모두 찾아 주어야 한다. 추가된 목록에서 우클릭 - Find out what accesses this address(F5)를 클릭 한다.

열려 있는 프로세스에 Cheat Engine의 debugger를 attach 한다는 메세지 박스가 나온다.

Yes 를 클릭하면 아래와 같은 창이 뜬다.

Tutorial 로 돌아와 Change value 버튼을 클릭 한다.

Find out what accesses this address 로 지정한 주소에 접근하는 opcode가 표시 된다.

More information 버튼을 클릭하면 추가 정보가 표시 된다. 내용을 확인해 보면 eax에 저장된 값을 rsi+18에 복사하고 있다.

rsi의 주소는 01587460이고 여기에 offset 값 18을 더하면 01587478로 위에서 CE으로 찾은 주소의 값과 일치 한다.

CE에서 Hex 체크 박스를 클릭하고 rsi 주소값을 입력한 다음 New Scan을 클릭하고 First Scan 한다. 아래와 같이 rsi 주소 값을 가지는 메모리의 주소(첫 번째 포인터)를 찾았다. 이 상태에서 Add Address Manually 버튼을 클릭 한다.

Add address 창이 뜨면 Pointer 체크 박스를 클릭 하고 위에서 찾은 메모리 주소를 입력한다. offset 값으로 18을 입력 하면 최종 값인 3559가 표시 된다.

OK를 클릭하면 CE에 아래와 같이 표시 된다.

이제 이 포인터의 포인터를 찾아 보자. 추가한 포인터에서 F5를 눌러 Find out what accesses this address를 실행하면 아래와 같은 메세지가 나온다.

Find out what accesses this pointer를 클릭한다.

Tutorial로 돌아가 Change value 버튼을 클릭하면 아래와 같이 포인터에 접근하는 opcode 목록을 표시해 준다. 첫 번째 opcode의 operand 인 rsi 값을 확인해 보면 07312500으로 위에서 찾은 포인터의 주소와 일치 한다.

rsi 값을 가지는 주소(포인터)를 찾아 보자. 015661E8에 같은 값이 저장되어 있는걸 확인 할 수 있다.

리스트에 추가된 포인터를 더블 클릭하고 Add Offset 버튼을 클릭하면 아래와 같은 화면으로 바뀐다.

하단 주소 입력 에디트 박스에 포인터 주소값을 입력해 주면 아래와 같이 표시된다. OK 버튼을 클릭한다.

별 다른 변화는 없어 보이지만 포인터의 포인터까지 찾아 놓은 상태이다.

다시 그 포인터의 포인터를 찾는 과정을 반복하면 아래와 같이 더 이상 포인터로 지시되지 않는 녹색 주소값이 나온다. (CE 에서는 static address가 녹색으로 표시 된다)

이 마지막 포인터를 추가해 준다.

마지막 포인터까지 추가되었으면 Active 체크 박스를 클릭해서 값을 고정 시키고 Value를 5000으로 수정 한다.

Tutorial로 돌아가 Change pointer버튼을 클릭하면 3초 후 Next 버튼이 활성화 된다. a pointer to a pointer to a pointer to a pointer to the health 값을 찾은 것이다.

x64dbg에서 패치한 파일은 아래와 같이 ollydbg와는 다른 방식으로 저장한다.

필요한 부분을 패치 한다. 아래 예에서는 4바이트를 패치 했다.

File - Patch file... 을 클릭 한다.

패치된 4바이트가 표시 된다. Patch File 버튼을 클릭 한다.

원하는 이름을 입력하고 저장 버튼을 클릭 한다.

패치가 적용되었다는 메세지 박스가 나타난다.

지정된 폴더에 패치된 파일이 생성되어 있다.

2021.09.25 - [C, C++] - Qt6 설치 및 간단한 사용법

Qt의 Pixmap을 이용해 간단한 스프라이트 애니매이션을 구현 할 수 있다.

아래와 같은 스프라이트 이미지를 준비 한다. 

이 중 처음 11개의 달리는 이미지 프레임만 사용한다.

Qt Widgets Application으로 기본 설정들을 적용해서 프로젝트를 만든다. (D:\Horse)

프로젝트를 만든 후 바로 build 디렉토리가 만들어지지 않으므로 build를 한 번 진행 한다.

build 디렉토리에 준비한 스프라이트 이미지를 복사한다.

mainwindow.h 에 아래와 같이 추가 한다.

mainwindow.cpp 에 아래와 같이 추가 한다.

프로젝트를 build하고 실행하면 아래와 같은 애니매이션이 재생된다.

Application Output 창에는 Main Window와 Sprite 사이즈가 표시 된다.

iCCP 관련 warning은 무시하거나 이 링크를 참고해서 제거한다.

x64dbg를 설치하고 실행해 보면 아래와 같이 밝은 배경으로 표시 된다.

아래 링크에서 원하는 Color Scheme을 다운 받고 압축을 풀어 주자. (

)

x64dbg Color Schemes

Options - Import settings... 를 선택 한다.

다운 받은 Color Scheme 파일을 선택해 준다.

선택한 Color Scheme이 바로 적용 된다.

파일을 열어 보면 아래와 같이 표시 된다.

※ 참고: 포인터 스캐너 사용법

Cheat Engine으로 간단하게 Pointer를 찾을 수 있다.

Cheat Engine에서 Tutorial 프로세스를 열어 준다. Value를 변경해 가며 정확한 Address를 찾는다.

찾은 Address에서 오른쪽 클릭 하고 'Find out what accesses this address'를 클릭한다.

Cheat Engine에 debugger를 붙여 준다.

아래와 같은 창이 뜬다.

Tutorial로 돌아가 Change value 버튼을 클릭해 값을 변경 하면 018F3D30 주소에 접근한 opcode들이 표시 된다. 그 중 두 번째 opcode가 018F3D30 위치의 값을 바꾼다는 것을 알 수 있다. (아래 창에서 << 표시된 opcode) More information을 클릭하면 약간의 추가 정보가 표시 된다.

Cheat Engine에서 value가 저장된 Address인 018F3D30을 다시 Hex scan 한다.

018F3D30이 저장된 Address가 Pointer의 Address 이다. Add Address Manually 버튼을 클릭한다.

Pointer를 체크한다.

Pointer의 Address를 입력한다. offset 값은 없으므로 0으로 둔다.

Value가 저장된 위치를 가리키는 Pointer가 추가 된다.

Value를 5000으로 수정하고 Active를 체크한다. (Value가 5000으로 고정 된다)

Tutorial에서 Change value 버튼을 클릭하면 Value가 바뀌지만 메모리 상에서는 다시 5000으로 돌아간다. Change pointer 버튼을 클릭하면 Pointer가 가리키는 주소(Value 값이 저장된 주소)가 바뀌고 Cheat Engine 에서 찾아 놓은 Pointer 가 가리키는 주소값도 똑같이 바뀐다. Next 버튼이 활성화 되고 Pointer를 찾았음을 확인 할 수 있다.

이번에는 아래와 같은 코드로 프로그램을 만들어서 정확히 확인해 보자. 

프로그램을 실행 시키면 포인터에 저장된 주소(p)와 그 주소에 저장된 값(*p)이 표시 된다.

아래와 같이 1을 선택하면 값을 1 증가 시키고 2를 선택하면 포인터에 저장된 주소를 다시 할당 한다.

프로그램을 다시 실행하고 Cheat Engine으로 Value를 변경해 가며 주소를 찾는다.

프로그램에서 주소값을 표시해 주므로 Cheat Engine에서 찾은 주소가 맞는지 쉽게 확인 된다.

마찬가지로 Find out what accesses this address 로 어떤 코드가 이 주소에 접근하는지 확인해 보자.

More informatioin의 내용도 확인해 보자.

Value의 주소값을 Hex Scan으로 검색한다. 아래와 같이 두 개의 주소가 확인 되었다.

프로그램에서 2번을 선택해 Pointer가 가리키는 주소를 변경해 보자.

00F3F764에 저장된 값이 프로그램과 동일하게 변경되는걸 확인 할 수 있다. 00F3F764가 포인터의 주소이다.

Add Address Manually로 Pointer를 추가해 준다.

프로그램에서 Value와 Pointer value를 변경하면 Cheat Engine에 찾아 놓은 포인터에도 똑같이 적용되는걸 확인 할 수 있다.

프로세서가 kernel mode에서 user mode로 변경되는 시점을 간단히 찾을 수 있다. (User mode and kernel mode)

예를 들어 Message box가 종료되는 지점을 찾아 보자. ollydbg에서 분석할 프로그램을 열어 준다.

(password: lena)

F9를 눌러 실행 한다.

아래와 같은 Message box가 나타난다.

F12를 눌러 정시 시킨다.

아래와 같은 곳으로 이동 된다.

Alt + F9를 눌러 back to user mode를 실행 한다.

오른쪽 아래에 Till user가 표시 된다.

'Register Me' 메세지 박스에서 '확인'을 클릭하면 아래와 같이 MessageBoxA CALL 이 종료되는 시점에서 정지 된다.

이번엔 scanf 가 종료되는 지점을 찾아 보자. 아래와 같은 소스로 실행 파일을 만들어 준다. (

)

ollydbg(v.2.01)로 열어 준다.

F9를 눌러 실행 한다.

아래와 같이 숫자를 입력하는 콘솔창이 뜬다.

다시 ollydbg로 돌아와 F12를 눌러 정지 시킨다. 하지만 여기서는 Paused 상태가 되지 않고 Pausing 상태가 된다.

콘솔창에서 숫자를 입력 한다.

숫자를 입력하면 아래와 같은 주소로 이동하고 정지 상태가 된다.

F8, Alt + F9, Ctrl + F9 를 적당히 눌러가며 진행 하면 scanf가 종료되는 것으로 보이는 위치가 나타난다.

같은 파일을 x32dbg로 열어 보자.

F9를 눌러 진행 한다.

한번 더 F9를 눌러 진행하면 아래와 같이 Running 상태가 된다.

숫자를 입력하라는 콘솔창이 뜬다.

x32dbg로 돌아가 Threads 창을 열어 준다.

Title Bar에는 Main Thread가 선택되어 있는 것 처럼 표시 되지만 Main Thread가 아닌 2번 thread가 활성화 되어 있다. 이 상태에서는 break point가 제대로 작동하지 않는다. Main Thread를 활성화 해 준다.

아래와 같은 주소로 이동 된다. F12를 눌러 Pause 한 후(F12를 한 번 누르면 화면에는 아무것 도 표시되지 않는다. 두 번 누르면 Error setting breakpoint at XXXXXXXX! (SetBPX) 가 표시 되지만 무시하자) 콘솔창에서 숫자를 입력한다.

숫자를 입력하고 나면 아래와 같이 Paused 상태가 된다.

F8, Alt + F9, Ctrl + F9 를 적당히 눌러가며 진행 하면 scanf가 종료되는 것으로 보이는 위치가 나타난다.

스크롤을 조금 올려 보면 프로그램의 전체적인 내용을 파악 할 수 있다. pdb파일이 같이 있기 때문에 소스 라인까지 표시 된다.

ollydbg 에서 많이 사용하는 win32.hlp는 Windows 3.0 부터 XP까지 지원하는 도움말 파일 형식(*.hlp) 이다.

도움말 탐색기(winhlp.exe)로 열 수 있는 이 형식은 XP 이후로는 공식 업데이트를 이용해 사용 가능하지만 Windows 10 부터는 공식 지원이 되지 않고 있다.

Windows 10에서 *.hlp 파일을 실행 하면 아래와 같이 MS Windows 도움말 홈페이지가 연결 된다.

다음과 같은 방법으로 Windows 10에서도 *.hlp 파일을 열어 볼 수 있다.

적당한 폴더를 만들고 아래 파일 중 사용 중인 윈도우에 맞는 버전을 다운 받아서 압축을 풀어 준다.

winhlp32_WinXP_x86.zip

winhlp32_WinXP_x64.zip

같은 폴더에 아래 파일을 다운 받는다.

Windows10_hlp_fix.cmd

파일 내용:

@echo off

set crtpth=%CD%

takeown /f "%windir%\winhlp32.exe" >nul

icacls "%windir%\winhlp32.exe" /grant *S-1-5-32-544:F >nul

copy /y "%crtpth%\winhlp32.exe" %windir%

icacls "%windir%\winhlp32.exe" /setowner "NT Service\TrustedInstaller" >nul

echo.

echo Done.

echo.

echo Press any key to Exit

pause >nul

exit

명령 프롬프트를 관리자 권한으로 실행하고 다운 받은 폴더가 위치한 곳으로 이동한다.

Windows10_hlp_fix.cmd 파일을 실행 한다.

이제 *.hlp 파일을 열어 보면 잘 열린다.

IDA Pro를 설치하고 파일을 disassembling 해 보면 밝은 스킨이 적용된 화면이 나타난다.

어두운 스킨 적용을 위해 아래 링크에서 파일을 다운 받는다. (

이 파일을 받아도 된다)

https://github.com/zyantific/IDASkins

다운 받아서 압축을 풀고 plugins 폴더를 확인해 보면 아래와 같은 폴더와 파일이 있다.

IDA Pro가 설치된 폴더 - plugins 폴더에 모두 복사한다. (idaskins.py는 그림에 표시되지 않았다)

IDA Pro를 실행시키고 Edit - Plugins - IDASkins: Settings를 선택한다. (Ctrl + Shift + S)

Theme selection 에서 IDASkins dark를 선택한다.

Options - Colors... 를 선택 한다.

Import 를 선택하고 plugins\idaskins\themes\idaskins-dark\ida-consonance.clr 을 선택한다.

원하는 파일을 disassembling 해 보면 아래와 같은 skin이 적용되어 표시 된다.