블로그 내의 게시글을 인터넷에서 악의적으로 사용할 경우 본인에게 책임이 있습니다.
Program이 OllyDBG로 로딩되어 디버깅 되는 상태가 되면 Memory의 Heap 영역에 자신이
디버깅되고 있다는것을 표시하기위해 하는 행동중 하나가
Heap Memory의 사용되지 않는 영역을 0xFEEEFEEE 로 채우는 것 입니다.
PEB의 시작주소로부터 0xC 만큼 떨어진 지점에 4바이트 포인터가 존재하는데 이것이 Ldr의 주소입니다.
위에 보이는 7FFDD000 으로부터 0xC 만큼 떨어진 0x00251EA0 가 PEB.Ldr 입니다.
이동해서 아래쪽으로 내리면 위와같이 0xFEEEFEEE 로 덮여있는 공간이 나옵니다.
이 공간을 모두 0x00000000 으로 덮어쓰면 됩니다.
No comments:
Post a Comment