x32dbg/x64dbg Assembly Mnemonic Help 어셈블리 명령어 설명

Reverse Engineering 2023. 1. 20. 11:53 |
반응형

x32dbg/x64dbg에서 어셈블리 니모닉 도움말을 사용할 수 있다.

 

수많은 어셈블리 명령에 대한 설명이 없다.

 

설명이 필요한 명령에서 우클릭 - Help on mnemonic을 클릭한다.

 

Log 창에 자세한 설명이 표시된다.

 

전체적으로 간단한 설명을 보고 싶다면 우클릭 - Show mnemonic brief를 클릭한다.

 

 

모든 어셈블리 명령에 대해 간단한 도움말을 표시해 준다.

 

반응형
저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

Cheat Engine Dosbox Editor making - 치트 엔진 도스박스 에디터 만들기  (0) 2023.01.26
TLS(Thread Local Storage) Callback 작성 중...........  (0) 2023.01.22
x32dbg/x64dbg Cross References 크로스 레퍼런스  (0) 2023.01.19
Cheat Engine Address - 치트 엔진 주소 표시  (0) 2023.01.06
x32dbg/x64dbg PE Relocation - PE 재배치 표시  (0) 2023.01.06
Posted by J-sean
:

x32dbg/x64dbg Cross References 크로스 레퍼런스

Reverse Engineering 2023. 1. 19. 15:11 |
반응형

특정 코드를 레퍼런스하는 명령을 찾아보자.

 

한 화면에 들어오는 가까운 거리에서는 CPU창 왼쪽 화살표로 레퍼런스를 확인할 수 있다.

 

레퍼런스가 멀리 있거나 여러 개 라면 해당 명령(주소)에서 우클릭 - Find references to - Selected Address(es)를 클릭한다.

 

References 창에 레퍼런스가 표시된다.

 

레퍼런스를 좀 더 편하게 확인하고 싶다면 CPU 창에서 우클릭 - Analysis - Analyze module을 클릭한다.

 

 

레퍼런스를 확인하고 싶은 명령에서 우클릭 - xrefs... 를 클릭한다.

 

레퍼런스 창 안의 레퍼런스를 선택하면 그 레퍼런스로 바로 이동할 수 있다. Cancel 버튼을 클릭하면 명령으로 돌아간다.

 

반응형
저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

TLS(Thread Local Storage) Callback 작성 중...........  (0) 2023.01.22
x32dbg/x64dbg Assembly Mnemonic Help 어셈블리 명령어 설명  (0) 2023.01.20
Cheat Engine Address - 치트 엔진 주소 표시  (0) 2023.01.06
x32dbg/x64dbg PE Relocation - PE 재배치 표시  (0) 2023.01.06
Cheat Engine Auto Assembler Basics - 치트 엔진 오토 어셈블러 기본  (0) 2023.01.02
Posted by J-sean
:

x32dbg/x64dbg PE Relocation - PE 재배치 표시

Reverse Engineering 2023. 1. 6. 12:01 |
반응형

x32dbg/x64dbg가 재배치된 PE 파일을 어떻게 표시하는지 알아보자.

 

프로그램을 x86dbg에서 로드하고 CPU창에서 기계어 코드를 보면 빨간 밑줄로 표시된 코드를 볼 수 있다.  이건 어떤 의미일까? 제일 먼저 만나게 되는 00D93691 주소의 A037D900 을 확인해 보자.

 

우선 Symbols 창을 확인해 보자. notepad.exe는 00D90000 주소에 로딩 되었다.

 

Address of Entry Point는 00003689 이다.

 

Base Relocation Table을 확인해 보면 RVA 3691에 PE 재배치 작업이 필요한 하드코딩 주소가 있는걸 확인할 수 있다. 그래서 x86dbg/x96dbg는 00D93691에 빨간 밑줄을 표시한다.

 

 

다른 위치도 확인해 보자. Base Relocation Table에서 RVA 14AF 주소를 발견했다. 이 위치의 기계어 코드에도 밑줄이 표시되어 있을까?

34AF - 최상위 4비트(Type) = 4AF(Offset)

RVA = 1000(RVA of Block) + 4AF = 14AF

Virtual Address = 00D90000(파일 실제 로딩 주소) + 14AF = 00D914AF

 

00D914AF 주소에 빨간 밑줄이 표시되어 있다.

 

반응형
저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

x32dbg/x64dbg Cross References 크로스 레퍼런스  (0) 2023.01.19
Cheat Engine Address - 치트 엔진 주소 표시  (0) 2023.01.06
Cheat Engine Auto Assembler Basics - 치트 엔진 오토 어셈블러 기본  (0) 2023.01.02
Cheat Engine AOB Injection with DosBox - 치트 엔진 코드 인젝션 도스박스  (0) 2023.01.01
Cheat Engine Code Injection Cheat Table Framework code bug - 치트 엔진 코드 인젝션 버그  (0) 2022.12.30
Posted by J-sean
:

x64dbg 패치한 파일 저장하기

Reverse Engineering 2019. 3. 5. 21:29 |
반응형

x64dbg에서 패치한 파일은 아래와 같이 ollydbg와는 다른 방식으로 저장한다.

 

필요한 부분을 패치 한다. 아래 예에서는 4바이트를 패치 했다.

 

File - Patch file... 을 클릭 한다.

 

패치된 4바이트가 표시 된다. Patch File 버튼을 클릭 한다.

 

원하는 이름을 입력하고 저장 버튼을 클릭 한다.

 

 

패치가 적용되었다는 메세지 박스가 나타난다.

 

지정된 폴더에 패치된 파일이 생성되어 있다.

 

 

 

 

반응형
저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

Cheat Engine Code Injection Cheat Table Framework code bug - 치트 엔진 코드 인젝션 버그  (0) 2022.12.30
Cheat Engine으로 Multilevel pointers 찾기  (0) 2019.03.20
x64dbg Color Scheme 바꾸기  (0) 2019.02.19
Cheat Engine으로 Pointer 찾기  (2) 2019.02.13
Back to user mode  (4) 2019.02.10
Posted by J-sean
:

x64dbg Color Scheme 바꾸기

Reverse Engineering 2019. 2. 19. 16:00 |
반응형

x64dbg를 설치하고 실행해 보면 아래와 같이 밝은 배경으로 표시 된다.

 

아래 링크에서 원하는 Color Scheme을 다운 받고 압축을 풀어 주자. (

mostlyblack.ini
다운로드

)

x64dbg Color Schemes

 

Options - Import settings... 를 선택 한다.

 

다운 받은 Color Scheme 파일을 선택해 준다.

 

선택한 Color Scheme이 바로 적용 된다.

 

 

파일을 열어 보면 아래와 같이 표시 된다.

 

 

 

반응형
저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

Cheat Engine으로 Multilevel pointers 찾기  (0) 2019.03.20
x64dbg 패치한 파일 저장하기  (0) 2019.03.05
Cheat Engine으로 Pointer 찾기  (2) 2019.02.13
Back to user mode  (4) 2019.02.10
Windows 10에서 *.hlp 파일 열기  (10) 2019.02.05
Posted by J-sean
:

티스토리툴바