2014/02
-
Binary DiffingComputer/Program Analysis 2014. 2. 14. 08:54
Bindiff를 국내에서 쓰지 못하게 되어서 불편해 졌다. 아직까지 Darungrim을 사용할 수는 있지만 개발이 중단되어 있다. 단순히 텍스트 바이너리 형태로 비교를 하려고 한다면 % xxd b1 > b1.hex % xxd b2 > b2.hex% vimdiff b1.hex b2.hex 이 정도면 충분한 것 같다. kdiff3도 괜찮지만 파일이 커지면 문제가 발생하는 듯 하다. 물론 상용 프로그램인 BeyondCompare가 용량 문제나 속도나 편리함이나 가장 괜찮은 것 같다.
-
.reloc section and ASLRComputer/Security 2014. 2. 6. 14:31
Windows PE 파일에서 .reloc section을 제거하기 전에는 ASLR에 의해 실행 파일이 메모리에 올라오는 위치가 달라진다. (Windows Vista 이상) 그런데 .reloc section을 제거하면 XP에서 실행하면 항상 보이던 0x400000 에서 시작하게 된다. (Windows 8.1에서 실행함) .reloc section 제거는 다음 유틸리티를 이용 (http://www.jrsoftware.org/striprlc.php) Windows 8.1에서 일반적으로 ASLR에 의해 EXE 파일의 memory 위치가 실행할 때마다 바뀜 Windows 8.1에서 reloc section 제거하고 실행했을 때 memory map