Software Engineer English & Software Engineering Blog - Sean

Ghidra에서 (**(code **)(*XX + 0xYY))(ZZ) 형태의 명령어로 디컴파일 되는 경우가 있다.

이때, (**(code **)(*XX + 0xYY))는 함수를 가리키는 포인터, (ZZ)는 함수의 파라미터 부분인거 같다.

C++의 가상함수 테이블에서 이런 경우가 생기는거 같고, Visual Basic에서도 생기는거 같다.

함수의 위치가 정확히 정해진게 아니고 레지스터 값을 이용해 위치를 계산해야 하기 때문에 이렇게 되는거 같다.

※ 참고

Stack Overflow

Functions of the Visual Basic 6.0 Library

piVar3, local_a8은 모두 포인터이며 특히 여기선 (**(code **)(*piVar3 + 0x44)) 호출 후 local_a8에 값이 저장된다.

Ghidra에서 분석한 포인터 local_a8은 [ebp-A4]이다.

0040455D에서 [ebp-A4]의 값을 eax로 옮기고 00404563에서 cmp eax, EA60 명령으로 60,000과 비교하고 있다.

(0xEA60 = 60,000)

정적 분석(Ghidra)으로는 (**(code **)(*piVar3 + 0x44))라는 함수의 위치를 파악하기 어려운거 같다. 동적 분석(x64dbg)으로 00404545 call dword ptr ds:[edx+44] 명령이 이동하는 곳을 따라가 보면 0x004055A0인것을 알 수 있고 함수로 인식되어 있다.

  local_1c = 0;
  local_20 = 0;
  (**(code **)(*param_1 + 100))(param_1,2,&local_20);
  local_1c = local_20;
  (**(code **)(*param_1 + 8))(param_1);
  *param_2 = local_1c;

디스어셈블된 FUN_004055a0의 코드 중 하단부를 다시 살펴 보면 1~2 번째 줄에 의해 local_1c, local_20은 0으로 초기화 되고 3 번째 줄 함수 호출에서 파라미터로 넘어간 local_20에 어떤 값이 저장되어 4번째 줄에서 local_1c에 다시 저장된다. 그리고 마지막 줄 *param_2 = local_1c; 명령에 의해 제일 위 그림에서 설명했던 local_a8에 값이 저장된다.

(이전 함수에서 파라미터로 넘긴 local_a8이 지금 함수에서 param_2다)

2025.07.19 - [Reverse Engineering] - [x32dbg/x64dbg] Exception Handling and Call Stack Check 예외 처리 및 콜스택 확인

C 코드를 어셈블리 코드로, 어셈블리 코드를 기계 코드로 바꿔보자.

디버거로 확인한 WinExec() 주소는 재부팅 할 때마다 변경된다.

치트 엔진으로 삽입한(inject) 코드를 enable/disable 하기 위해 Cheat Table Framework code 사용할 수 있다. 하지만 자세히 보지 않으면 원치 않는 결과를 얻게 되므로 조심해야 한다.

위 Memory Viewer가 원래 코드고 아래 Memory Viewer가 복구된 코드다.

원래 코드나 복구된 코드나 ebx 레지스터에 저장된 메모리 주소에서 4A4 바이트 떨어진 곳에 저장된 값에서 1을 빼는 내용으로 동일하지만 자세히 보면 Opcode가 다른것을 확인할 수 있다. 원래 코드의 Opcode는 83이고 복구된 코드의 Opcode는 81이다. 두 번째 operand도 값은 1로 동일하지만 크기가 1바이트(01)와 4바이트(00000001)로 큰 차이가 발생했다. 이렇게 코드가 바뀌었지만 내용은 같기때문에 별 문제가 없을것 같지만 명령어 크기가 바뀌는 바람에 그 다음 명령어 영역까지 침범한 것은 큰 문제이다. (그래서 프로그램이 오류로 종료되어 버리는 것이다)

원래 코드의 83은 imm8(8비트 값)을 오퍼랜드로 사용하지만 복구된 코드의 81은 imm32(32비트 값)을 오퍼랜드로 사용한다. 복구할 스크립트의 sub 명령어를 기계어로 번역할때 Opcode를 81로 사용하기 때문에 sub dword ptr [ebx+000004A4], 01 이라는 어셈블리 명령어의 두 번째 오퍼랜드 01을 0x01로 1바이트 값이 아닌 0x00000001로 4바이트 값으로 번역하는 것이다. 치트엔진은 튜토리얼이 32비트 프로그램이므로 당연히 4바이트 값을 사용했을것이라 생각하는것 같다. 어쨌든 원래 코드로 복구시키지 못하므로 버그라고 봐야 할거같다.

위 그림처럼 sub dword ptr [ebx+000004a4], 01 코드를 주석처리하고 그 아래 db 83 AB A4 04 00 00 01을 주석 해제한다. 어셈블리어로 작성한 코드를 기계어로 번역하지 않고 원래 있던 기계어를 다시 그대로 바이트 단위로 정의(db: define byte)하는 것이다.

r/m8, imm8 오퍼랜드를 사용하는 80 옵코드로 복구되지만 기계어로 번역된 결과의 길이가 같아 다른 명령어를 침범하지 않고 실행에도 문제가 없다.

C# 코드를 난독화 해 보자.

"$(Obfuscar)" obfuscar.xml

더 많은 세팅값은 아래 링크에서 확인할 수 있다.

Configuration

리눅스(우분투)에 설치된 비주얼 스튜디오에서 파이썬을 프로그래밍해보자.

pip가 설치되지 않았다면 설치한다.

폴더를 만들어 준다.

폴더내에 파이썬 소스를 작성할 파일을 만든다. 확장자는 .py로 한다.

Python extension을 설치한다.

Linter pylint가 설치되지 않았다는 메세지가 나온다. Install 한다.

소스를 입력하고 Ctrl+F5키를 누르면 실행된다.

Run - Run Without Debugging을 선택해도 된다.

리눅스(우분투)에서 비주얼 스튜디오 코드를 설치하고 코딩해 보자.

비주얼 스튜디오 홈페이지에 접속하고 Debian, Ubuntu용 .deb을 선택한다.

설치파일을 다운로드한다.

다운로드한 설치파일을 실행한다.

Install을 선택한다.

설치는 간단히 끝난다.

build-essential을 설치한다.

설치된 Visual Studio Code를 실행한다.

Welcome 화면이 나타난다.

File - Open Folder... 를 선택한다.

원하는 폴더를 만들고 선택한다.

EXPLORER - 위에서 만든 폴더에서 New File을 선택한다.

원하는 파일이름을 지정한다. C++ 프로그램을 만들기 위해 확장자는 .cpp로 지정한다.

Extensions에서 c/c++를 설치한다.

간단한 C++ 코드를 입력한다.

Terminal - Configure Default Build Task...를 선택한다.

C/C++: g++ build active file을 선택한다.

Terminal - Run Build Task...를 선택한다.

빌드가 진행된다.

위에서 만든 폴더로 가면 빌드된 파일이 있다. 실행해 본다.

task를 변경하고 싶다면 아래 예처럼 tasks.json 파일을 변경한다.

tasks.json 예제

필요하다면 File -Preferences - Keyboard Shortcuts 에서 새로만든 task의 단축키를 지정할 수 있다.

Open Keyboard Shortcuts (JSON) 아이콘을 클릭한다.

아래 예처럼 keybindings.json 파일을 수정한다.

keybidings.json 예제

It shows how to detect and decode a QR Code.

OpenCV에서 QR코드를 감지하고 내용을 확인할 수 있다.

Run the program. It says 'No QR code detected' at first.

QR code with a message.

QR code with a website address.

If the first 4 letters of the message are 'http', it opens the website with the default web browser.