고급 정적 분석 아이다활용

 

 

 

 

 

 

 

 

 

]

 

 

auto comments  자동 주석을 달아주는거 좋다고함

 

 

 

 

 

 

 

 

 

 

 

 

sub_401000 처럼 수식어가 바뀌는 케이스가 존재한다.

 

 

함수를 참조하는 링크가 나오면 보통 sub라고 나온다.

일반적으로 call 명령어뒤에 sub_401000 이 붙어 있는것

 

항상 그런건아닙니다.

 

mov eax, sub_401000

 

함수를 eax에 넣었다가 나중에사용하려고 하는것인데 적는 케이스 들이있다

 

 

 

 

 

 

 

 

 

Loc 는 목적지로 점프하는 링크

 

예를들면 jmp, jz, jnz 같은 점프 관련 명령어가 나올떄 loc가 등장할수있다.

 

 

 

 

 

 

 

일반적으로 주소가나오는것인데

메세지를 해석해서 text 와 caption이 나오는것이다

 

 

offset 에 주소가 붙으면 주소를가져온다 데이터를 가져온다

 

push는 4byte 인데 뒤에 스트링이붙어있다. 포인터라는 뜻인데

이주소를 따라가면 이데이터 들이 있다~~~  가지고와서 전달을 하려고하는것 

 

caption과 text를 가르키는 그런 데이터를 넣는다 라고생각하자

 

포인터가 들어갈때 offset을 사용할수도 있다라고 생각

 

메모리를 가져오는 그런 작업을 하는것이다!

 

 

 

 

 

 

 

 

 

상호참조 기능

 

어떤 데이터가 어떤데이터를 참조할때

 

 

 

 

 

 

 

 

 

5번을 가장 많이 사용합니다.

 

 

 

함수가 어떤기능을 가지고있는지  어떤api 함수를 호출하는지도 알수있고

 

이함수가 어디로부터 흘러왔는지를 알수가있다.

 

 

 

 

 

 

 

 

 

너무많고 중복된 함수가 나올떄 우리가 이름막 정해서 사용할 수있다.