FSMG 강좌 Drive Snapshot 잡기술 나눔 중...

2019.10.18 23:38

FSMG 조회:3347 추천:21

첨부된 잡기술 보조 도구는 바이러스 엔진 실시간 감시를 꺼야 실행이 가능할겁니다.

압축 풀면, UPXPure.v.3.91 파일과 Patchx32x64 파일이 있습니다.

UPXPure.v.3.91는 드래그해서 Drive Snapshot 1.47.18679를 올리고 UPress를 누르면 압축해제됩니다. 잡기술 도구.7z

no14.png

 

Drive Snapshot x32x64 Patch는

no15.png

압축 해제된 Drive Snapshot 1.47.18679 폴더에 넣고 클릭하면

Characteristics를 변경해줌으로 Drive Snapshot 파일이 정상 동작됩니다.

 

1, 아래 이미지는 기계어(코드)라고합니다. 키보드에서 칠수 없는 숫자들이 보입니다. 케릭터리스틱(Characteristics) 상태입니다.

   UPX 압축 해제 후, snapshot.exe 파일을 실행하면 오류 코드가 뜨는 이유가 Characteristics이 다르기 때문입니다.

2, 22 숫자만 23으로 변경해도 되는데... 복잡하게 8 단위를 와일드(??) 처리하느냐고 궁금해질겁니다.

   hex는 8 단위가 한 조입니다. 그래서 전체를 처리해주는 것이 좋습니다.

Drive Snapshot x32 PE-Section Characteristics

Searchpattern: 22 0D 0B 01 0A 00 00 96
Replacepattern: 23 ?? ?? ?? ?? ?? ?? ??
RawOffset: 000097F6
VirtualAddress: 004097F6

no3.pngno4.png

Searchpattern: 74 20 81 BD D8 FD FF FF 
Replacepattern: EB 0C ?? ?? ?? ?? ?? ??
RawOffset: 0002BE5C
VirtualAddress: 0042C45C
NO1.pngNO2.png

Drive Snapshot x64 PE-Section Characteristics

Searchpattern: 22 00 0B 02 0A 00 00 9C 
Replacepattern: 23 ?? ?? ?? ?? ?? ?? ??
RawOffset: 0000010E
VirtualAddress: 0000010F

no5.pngno6.png

 

RAW - RVA의 관계는 앞으로 무수히 사용하게 될겁니다.

RAW = 파일 내부 위치 값, RVA = 실행되면서 메모리상에서 보여지는 값입니다.

지역화 작업 한답시고, 프로그램 RawOffset 위치를 변경하면 실행이 당연히 안됩니다.

지역화 후, 영문이 한글로 보여지는 것은 메모리상의 RVA 값입니다.

 

형광펜 처리된 파일 시스?는 파일 시스템 마지막 글자가 잘려진 겁니다.

프로그램 내부에서 레퍼런스 처리가 안된 하드코딩 문자열입니다. (지역화 도구에서도 문자열이 나타나지 않습니다.)

이런 문제는 필러바이트 처리를 통해서 단어 숫자에 구애 없이 문자열이 잘려나가지 않도록 HEX 편집기에서 처리해야 합니다.

 

Filesystem (10자), 파일 시스템 (11자, 공백 포함) 그래서 마지막 글자가 ?로 표시되는겁니다.

영문은 단어 하나가 1바이트, 한글은 단어 하나가 2바이트라고 계산하면 -1이 맞지요?

NO7.png

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

여기서 한 템포 쉬고 숨고르기합니다. 질문도 받습니다.

마이크 잡고 떠들면 쉬운데 지금 환경이 그렇지 못해서 이미지 샷찍고, 아는 것도 별루 없는 입장에서 여러분들이 쉽게 깨닿도록 하려니 힘드네요.

 

Filesystem (파일 시스템)의 마지막 글자가 잘리는 것을 치환하는 방법입니다. 치환하는 방식은 여러 종류가있습니다.

개개인에게 익숙한 방법을 사용하시면됩니다.

저는 IDA를 주로 사용해서 모든 작업은 IDA에서 많이 이루어집니다.

파일/시스템 이라고 표기되는 것은 나중에 /를 빼고 공백으로 사용하면 되겠지요?

no12.png

 

no13.png

 

잘리던 마지막 '템' 글자가 이젠 잘 표시됩니다.

no11.png

 

등록 문제는 LIC-snapshot.txt 파일을 해당 폴더에 넣어두면 자동 인식됩니다.LIC-snapshot.7z

Drive Snapshot 프로그램은 압축하면 바이러스 진단에 걸립니다. 압축하지 않고도 등록이됩니다.

 

밑에 첨부 파일은 hex 편집기에서 편집해야 하는 하드코딩 문자열입니다. 양이 어마하지요?

저도 벌써 부터 한글화 작업하려다가 포기했습니다. 현재 웹에 번역본 나온 것은 전체 스트링의 5/1 정도 번역일겁니다.

왕초보님을 기술 전수하면, 끝까지 번역하실려나? 전 이미 포기했습니다. 고추장 팔기도 바쁜데 이걸 언제?

난 이미 늦었어^^*

Drive Snapshot str.7z

XE1.8.27 Layout1.4.8