ImportREC
Import REC는 Win32 실행파일이 보호되어 있거나 packing되어 있을 때 import table을 변경하기 위한 도구이다.
Manual Unpacking할 때 자주 사용되며 현재 1.7e Final 버젼까지 나와있다.
다운로드 : https://tuts4you.com/download.php?view.415
사용법
Import REC를 실행하면 아래와 같은 화면이 나온다.
Import REC는 프로세스를 attach하여 사용하기 때문에 원하는 프로세스를 attach하고 OEP를 입력한다.
OEP입력 후 IAT AutoSearch 버튼을 클릭 후 Get Imports 버튼을 클릭하면 확인할 수 있는 함수를 화면에 표시해 준다.
예제와 같이 모든 함수가 찾아지면 바로 Fix Dump를 이용하여 실행파일을 변경할 수 있다.
하지만 모든 함수가 찾아지지 않을 때도 있다.
함수명이 보이지 않을 경우에는 수동으로 함수명을 맞춰주든 trace를 이용하여 함수명을 찾아주든 해야한다.
수동으로 맞춰줄 때에는 함수명을 확인하기 위하여 우 클릭 - Disassemble / HexView를 이용하여 함수명을 찾고 더블클릭 하여 함수명을 입력하면 입력한 함수와 mapping될 것이다.
Trace는 우 클릭 후 원하는 Trace Level을 선택하면 되지만 안되는 경우도 존재한다. 그럴때에는 Plugin Traces를 이요할 수 있으며 함수가 아닌 것들은 cut thunk를 이용하여 잘라낼 수 있다.
위와 같은 방법을 사용하여 모든 주소와 함수를 mapping하였다면 Fix Dump를 이용하여 exe파일 수정 후 확인하면 OEP가 변경된 것을 확인할 수 있을 것이다.
'ETC > Tools' 카테고리의 다른 글
| pngcheck & tweakpng (0) | 2015.04.21 |
|---|---|
| [binary diffing] DarunGrim (0) | 2015.04.15 |
| Action Script Viewer (0) | 2015.03.31 |
| Action Script Extractor (0) | 2015.03.31 |
| Flash Decompiler Trillix (0) | 2015.03.31 |
