혹시 DLL 파일 뜯어보실수 있을까요?
2013.03.10 15:02
어떤툴로 열면 될까여?
위 파일좀 열수 있는지 분석부탁합니다.
댓글 [9]
-
네트워크 2013.03.10 15:09 -
소담이 2013.03.10 16:11
-
노백 2013.03.10 16:40
-
★민서아빠★ 2013.03.10 17:11 혹시 Insert 키로 활성화 되는 항목을 알수 있을까요? 그 항목을 삭제하고 싶은게 목적입니다.
특정 문자열에 핫키로 구동되는 항목이 있을텐데 찾기가 임드네여.... 예를 들어 컨트롤+H 이런식부터 Insert키sk 숫자패드 0 이런 핫키 말이요, 실제로 나열된 핫기가 구성되어 있으나 찾질 못해서 그럽니다.
-
노백 2013.03.10 17:43
제가 파일을 열어 볼줄은 아는데 FlexHEX를 사용하는 방법은 잘모릅니다.
-
구들목 2013.03.10 16:42
-
Tillandsia 2013.03.10 17:18
울트라 에디트로 까봤습니다...ㅋ
-
sone 2013.03.11 10:35
단순히 Hex Editor로 DLL 깐다고 해서 되는게 아닙니다.
생전 처음보는 파일을 그냥 Hex Editor로 깐다고 답이 나오는것은, 아무리 천재 프로그래머나 해커라도 불가능합니다.
"디스어셈블러나 디버거"로 열어서 먼저 조사하는게 답이죠.
Static한 단축키의 등록은 Win32 API인 RegisterHotKey 라는 것으로 인해 등록이 되는데,
해당 프로시져의 실행을 중지시키거나, 코드 변조를 통해서 의도와는 다르게 동작시켜야 합니다.
IAT에서 RegisterHotKey가 있는지 먼저 조사한 뒤에, 존재한다면 해당 프로시져를 호출하는 루틴을 조사해서 해당 부분 근처를 살펴서, 무력화 시켜야 합니다.
DLL이라면 DllMain의 fdwReason을 조사해서 DLL_PROCESS_DETACH나 DLL_THREAD_DETACH에 혹시 모르니 , UnregisterHotKey 등의 단축키해제 루틴이나, 리소스 해제 루틴이 있는지도 조사하면 더 판단하는데 도움이 되겠죠.
-
★민서아빠★ 2013.03.11 20:07 감사합니다. 많은 도움이 되었습니다. 큰 길을 찾게해주시는군요, ^^
제가 밖이라 들어가면 찾아드리겠습니다.