Broken Code (window31)

IDA 5.2 + HexRay를 어둠의 경로에서 구해서 한번 써봤습니다.
완전 장난아니군요 -_-

IAT Hook을 하는 소스를 HexRay로 돌려봤습니다.

bool ReplaceIATEntry(LPCSTR pszRepDllName, FARPROC pfnCurFunc, FARPROC pfnNewFunc, HINSTANCE hModInst) { LPBYTE pImageBase = (LPBYTE)hModInst; if(!pImageBase) return false; PIMAGE_DOS_HEADER pIDH = (PIMAGE_DOS_HEADER)pImageBase; if(pIDH->e_magic != IMAGE_DOS_SIGNATURE) return false; PIMAGE_NT_HEADERS pINH = (PIMAGE_NT_HEADERS)(pImageBase + pIDH->e_lfanew); if(pINH->Signature != IMAGE_NT_SIGNATURE) return false; PIMAGE_DATA_DIRECTORY pIDD = &pINH-> OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]; PIMAGE_IMPORT_DESCRIPTOR pIID = (PIMAGE_IMPORT_DESCRIPTOR)(pImageBase + pIDD->VirtualAddress); for(; pIID->OriginalFirstThunk; pIID++) { LPSTR pszModName = (LPSTR)(pImageBase + pIID->Name); if(!strcmpi(pszModName, pszRepDllName)) break; } if(!pIID->Name) return false; DWORD dwDummy = 0; PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)(pImageBase + pIID->FirstThunk); for(; pThunk->u1.Function; pThunk++) { FARPROC* ppfn = (FARPROC*)&pThunk->u1.Function; if(*ppfn == pfnCurFunc) { VirtualProtect(ppfn, 4, PAGE_READWRITE, &dwDummy); *ppfn = pfnNewFunc; return true; } } return false; }



놀랄 노자죠 ㅎㅎ
이정도면 머 거의 소스나 다름없죠 -.-
그간 왤케 고생해서 디스어셈블링을 공부한거지요 ㅎㅎ

일단 이 소스에서 간단히 파악할 수 있는 프세이드 코드로 변환될때의 특징은
1) 초반 코드로 사용되는 파라메타 검증 if문은 goto로 해석한다는것
    (하지만 머 위의 코드를 goto로 구현해도 실제로 컴파일러는 비슷하게 빌드해주니 별 상관없음)

2) 구조체에 대한 타입캐스팅은 이루어지지 않는다는거
    (머 되는 넘도 있겠죠? 하지만 일단 PE 쪽 구조체는 안 나오네요 ㅎㅎ)

3) 일부 멤버 변수는 걍 상수로 나와버립니다. 포인터로 바로 계산을 해버리는듯

4) 그냥 16진수로 표시해주는게 어떨까 하는 생각이 드는데... 23117 을 보고 한참 생각했다는 -_-
   (아시다시피 pIDH->e_magic 은 PE의 표식을 알려주는 MZ Header 값이죠)


어쨌든 헥스레이 정말 물건이네요
이걸로 상당한 시간절약을 할 수 있을 것 같습니다.
헥스레이 개발자.......정말 천재입니다.....감탄 !