일반적으로 debugger들은 disassemble을 진행할 때 자체적으로 해석하는 기능이 존재한다.
하지만 dubugger가 해석할 때 해석이 실패하도록 프로그래밍을 진행하면 코드가 깨진것처럼 보인다.
이러한 방법을 이용하여 reversing하는 사람들을 매우 귀찮게 할 수 있다.
보통 disassemble 코드를 분석할 때 다음과 같은 코드를 보게된다면 일반적으로 Analyze Code를 이용하여 disassemble을 진행할 것이다.
Analyze Code를 이용하여 분석 시 코드가 잘 보이는 경우도 있지만 분석이 제데로 안되는 경우도 존재한다.
분석이 제데로 안되는 경우는 breaking code alignment 기법이 프로그램에 존재한다고 생각하고 debugger의 해석 기능을 없애고 직관적으로 분석하게 만들어준다.
(CPU창에서 마우스 우 클릭 - Analysis - Remove Analysis from module)
'Reversing > Debugging Tech' 카테고리의 다른 글
IDA를 이용한 Kernel Debugging (0) | 2015.04.03 |
---|---|
Windbg를 이용한 kernel debugging(Windows7) (0) | 2015.04.03 |
Windbg를 이용한 kernel debugging(Windows XP) (0) | 2015.04.03 |
just-in-time Debugger (AeDebug) (0) | 2015.03.24 |
이미지 실행(로드) 시 디버거로 연결하여 실행 (0) | 2015.03.24 |