About PEID.
PEiD_v0.95.zipRelated Link => http://www.peid.info/
Plugin Link => http://mocker2080.tistory.com/entry/PEid-Plugins-Tools
일단 관련 링크를 해놓고는 했는데....... 저 사이트가 막힌 거 같다.(나중에 어떻게 될 지 몰라서 걸어놈)
이게 계속해서 업데이트가 되는 건지는 솔직히 잘 모르겠다.
PEID 0.95 기준.
그냥 Zip File로 파일을 첨부해놨고, 다운받고 압축 풀면 된다.
음...... PEID는 주로 PE 파일이 어떤 종류로 패킹이 되어 있는지 확인할 때 사용.
Cf) PE => Portable Executable File , 즉 실행 가능한 파일을 의미.
간단히 말해 OS에서 사용하는 프로그램.
대개 어떤 실행 파일이 어떤 컴파일러로 구성되었는지 확인을 해볼 때 사용.
사용법도 그렇게 어렵지도 않고, 생각보다 많은 기능들이 존재.
SDK가 제공되기에 Plugin을 만들어 사용할 수 O, 기본적으로 3개의 Plugin이 들어 있고,
더 원하면 별도로 다운로드를 받아야 한다.
#Main.
일단 위의 화면은 Hello world.exe 파일을 불러온 것이다.
좀 더 관련 있는 파일을 불러보겠다.
UPX로 패킹된 파일은 UPX로 패킹되었다고 화면에 존재.
ASP로 패킹된 파일은 ASP로 패킹되었다고 나온다.
#EP Section => Section Viewer.
EP Section > 클릭하면 section viewer가 등장.
패킹 코드가 추가되면서 PE 파일 구조도 함께 변경.
EP, 즉 Entry Point는 0x00038B40이고, EP가 존재하는 세션은 UPX1로 존재.
PEID는 이 프로그램 파일이 UPX로 압축되어 있다고 파악했다.
UPX는 EP는 PUSHAD로 시작하게 된다. 그 후 압축을 해제하고자 하는 UPX1 주소를
ESI 레지스터에 담고, UPX0 시작 주소를 EDI 레지스터에 담고 UPX0 주소는 스택에 저장.
EBX 레지스터는 압축 해제 조건 분기에 이용될 4byte의 값을 불러오는 용도로 이용.
#PE disassembler.
First Bytes > 클릭.
#PE details.
Subsystem > 클릭.
#Extra information.
>> >> 표시 클릭.
#Menu.
#OEP Finder.
-> 누르고 plugins 누르고 Generic OEP Finder 클릭.
# PEID Generic Unpacker.
Cf) 관련 개념들은 다른 글에서 언급하겠다.
참고 사이트 => https://www.darknet.org.uk/2016/03/peid-detect-pe-packers-cryptors-compilers/
'#Tool' 카테고리의 다른 글
| About DotPeek. (0) | 2018.05.17 |
|---|---|
| About Reflector. (0) | 2018.05.17 |
| About HxD. (0) | 2018.05.16 |
| About IDA Part 2. (0) | 2018.05.15 |
| About IDA. (0) | 2018.05.15 |
