내 남자의 길~!

Tsearch 한글 수정판 bisket 2

한글로 패치한 Tsearch 와 동일한 프로그램이다.

주로 모듈이 어떤 프로그램으로 만들어졌는지 볼 때 사용합니다. 그 밖에, MUP 할 때도 쓰이는 것으로 알고 있습니다.

다운로드

just google it!

더 살펴보기

http://peid.has.it/ 또는 http://peidforums.has.it/

한글판 PEID v0.94  출처: http://www.coolsoft2.com/

여러 가지 Hex 에디터를 사용해 보았지만, 결론은 항상 Hex Workshop이었습니다.

다운로드

http://www.bpsoft.com/downloads/index.html (trial)

더 살펴보기

http://www.bpsoft.com/

spy++ 처럼 윈도우를 살펴보는 도구입니다. 이것저것 장난질할 때는 spy++ 보다 더 좋더군요.

다운로드

http://kobik.net/downloads/spy.zip

더 살펴보기

http://kobik.net/spy_capture.asp

Process Explorer 같은 부류의 프로그램입니다.

별로 많이 써본 것은 아니지만, 딱 봐도 알 수 있는 게... 이름값은 제대로 한다는 점입니다.

공식 사이트가 이 곳 인데, 닫힌 것 같네요.

다운로드

Attach:TopToBottomNTInstall.zip

더 살펴보기

http://www.google.co.kr/search?hl=ko&q=TopToBottomNT&lr=

클래스 계층 구조를 그림으로 나타내 주는 프로그램입니다.

보통 이런 부류의 프로그램은 템플릿과 디파인이 얽히고설킨 구조에서는

제대로 된 결과물을 뽑아내지 못하곤 하는데, 이 프로그램은 꽤 잘 동작하는군요.

doc-o-matic을 만든 회사 제품인데, 역시나 doc-o-matic 만큼이나 깔끔한 결과물이 나오더군요.

비록 기능은 단순하지만, C/C++을 비롯해서 C++.NET, C#, Delphi, Java, IDL, VB.NET 등 다양한 언어를 지원합니다.

게다가, 개인 사용자에게는 무료입니다!

다운로드

http://www.toolsfactory.com/classviz20RC1.zip

더 살펴보기

http://www.toolsfactory.com/classviz.html

먼저 W32Dasm을 키신후 메뉴에서 "Disassember"를 누릅니다.

그러면 팝업메뉴가 뜨는데 "Open File to Disassemble.." 버튼을 누릅니다.

열기 대화창이 뜨는데 여기서 역어셈블 해올 파일을 선택해주시면 됩니다.





역어셈블 과정은 짧으면 10초에서 ~ 길면 5분 정도 걸리는데

역어셈블 과정이 완료되면 역어셈블 된 코드가 표시 됩니다.



위의 그림은 W32Dasm에서의 메뉴들인데 왼쪽 부터 차례대로



------------------------------------------

OPEN - 파일을 역어셈블 해올떄 쓰는 버튼 입니다.

SAVE - 역어셈블된 결과를 파일로 저장할떄 쓰는 버튼 입니다.

FIND - 문자열을 검색할떄 쓰는 버튼 입니다.

CopyClip - 선택한 줄을 클립보드에 저장하는 버튼 입니다.

START - 어셈블리 코드의 처음 부분으로 가는 버튼 입니다.



PEP - 프로그램 에서 실행되는 코드의 첫번쨰 부분으로 가는 버튼입니다.



PAGE - 특정한 페이지로 이동하는 버튼 입니다.

ADDR - 특정한 주소로 이동하는 버튼 입니다.



JMP - 현재 하이라이트된 줄이 JMP문이면 해당 점프지점으로 이동하는 버튼입니다.



RET1 - 점프문으로 이동되어 오기전에 지점으로 돌아가는 버튼입니다.



CALL - 현재 하이라이트된 줄이 CALL문이면 해당 콜지점으로 이동하는 버튼입니다.



RET2 - 콜문으로 이동되어 오기전에 지점으로 돌아가는 버튼입니다.



IMP - 다른 모듈로부터 Import되어 Import테이블에 있는 함수들의 목록을 보여준다.

함수 목록중 특정 함수를 더블클릭하면 해당 함수가 사용된 지점으로 이동됩니다.



EXP - Export테이블에 있는 함수들의 목록을 보여주는 버튼입니다.

DATA - data섹션을 Hex와 Ascii로 보여주는 버튼입니다.



CODE - Code섹션을 Hex와 Ascii로 보여주는 버튼입니다.



MENU - 리소스 아이템중 Meun 아이템을 보는 버튼입니다.

메뉴 목록중 특정 메뉴를 더블클릭하면 해당 아이템이 사용된 지점으로 이동됩니다.

DLG - 리소스 아이템중 Dialog 아이템을 보는 버튼입니다.

Dlg 목록중 특정 Dlg를 더블클릭하면 해당 아이템이 사용된 지점으로 이동됩니다.

STR - 리소스 아이템중 String 아이템을 보는 버튼입니다.

스트링 목록중 특정 스트링을 더블클릭하면 해당 스트링이 사용된 지점으로 이동됩니다.



---------------------------------------------

출처 : Tong - 등가교환님의 Hacking통

SOFTICE 를 좀 쓸 일이 있어서 XP (sp2)에서 설치를 하려고 하다가 좀 고생을 해서 나중을 위해서라도정리를 해둡니다.

softice설치하기전에 PC에 백신프로그램 또는 daemon 프로그램이 깔려있는지 확인.
- 깔려있으면 disable 시킨다..안그럼 제대로 동작안함.

DAEMON 툴 (가상CD롬)  이 설치가 되어 있으면 SPTD 드라이버라는 것 때문에
커널디버거(SOFTICE 같은) 가 동작이 안됩니다.
DAEMON 툴을 제거를 해도 SPTD드라이버는 제거가 되지 않기 때문에 regedit 를 이용해서
직접 SPTD 드라이버를 비활성화 시켜주어야 합니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\sptd

에서 start가 0값으로 되어있는것을 지금은 4(disable)로 바꿔 놔야 한다.

regedit 에서 SPTD 라는 문자열로 찾아서 Start 라는 값을 1에서 4로 바꾸어 줍니다. 한개가 아니고
여러항목이 있을 수 있으므로 끝까지 찾아서 고칩니다.




그러면 윈도시작할때 아래와 같이 SPTD 오류가 나지만 SOFTICE는 실행이 됩니다.



실행을 하고 나서도 breakpoint 를 걸고 나면 SOFTICE 내에서 키가 잠겨버려서 재부팅을 하는 수 밖에
없는 현상이 발생해서 또 꽤 오래 고생했는데 결국에는 다음과 같은 설정조합으로 해결을 할 수 있었습니다.

- CMOS 에서 multiple cpu support 를 off 하고 소프트아이스에서 Troubleshooting 설정에서 다음 조합을 사용




softice설치하고 화면 환경설정.
C:\WINDOWS\system32\drivers\Winice.dat 파일을 열어 INIT부분을 직접수정한다.
INIT="lines 39;set font 2;color f a 4f1f 1e;wc 20;wd 7;wr;code on;faults off;X;"

그냥 이 파일을 덮어 쒸우면 된다. 물론 위에 패치된 압축파일에는 포함 되어 있다.

VMWARE에 설치하고 사용할때 softice의 화면이 뜨지 않는 경우가 있다.
아래와 같이 softice의 설정에서

test버튼을 눌렀을때도 에러메세지가 발생하면 vmware에서 로드하는 이미지 파일

인 .vmx파일을 열어 vmmouse.present = FALSE svga.maxFullscreenRefreshTick = 5
 추가해준다.

간단한 사용법이 담긴 pdf자료이다.
The big SoftICE howto  - A step by step Guide

SoftICE Command Reference

비스타에서는 softice를 사용할 수 없는 관계로 ollydbg 라는 걸 처음 사용해 보았는데...
softice에서 유용한 bpx 로 윈도 api 호출에 중단점을 설정하는 기능이 있는지는 잘모르겠습니다.
하지만 설치가 softice보다 너무 쉽고(설치하지 않고 그냥 exe 실행하기만 하면 됨).
실행하고 나서 디버그할 exe 를 선택해서 열고 화살표를 누르면 디버그 시작!
softice를 사용해봤던 사람이라면 무난히 익혀 사용할 수 있는 것 같습니다.