ollydbg 유동(?)을 포함한 바이너리 패턴
사실 알분은 이미 알겠지만..
모르는 분도 있을듯해서 정리합니다.
(사실 앞으로는 필요없을수도...? ㅁㄴㅇㄹ..)
뻘짓을 해서 그런지 그러다 찾은건데요.
사소한 팁입니다.. (팁게시판에 올릴려했더니, 안 써져서..)
본론
ITH소스를 보면 "XX" 요런게 있습니다.
ex)
const uint8_t bytes[] = {
0xe8, XX4, // 004b00dc e8 7f191300 call .005e1a60 ; jichi: hook after here
0xbe, XX4, // 004b00e1 be d0e87b00 mov esi,.007be8d0
0x8b,0xc8, // 004b00e6 8bc8 mov ecx,eax
0x2b,0xf0 // 004b00e8 2bf0 sub esi,eax
};
간단히는 유동패턴(이라해야되나?),
XX에 어떤게 들어가도 상관없이 찾는 방식입니다.
e8 00 00 00 00 be ee ee ee ee 8b c8 2b f0 이든
~~e8 ee ee ee ee be 00 00 00 00 8b c8 2b f0 이든
찾아지는거죠.
보통 아랄 파인딩 가이드를 보면
12 34 55 aa bb cc 요렇게 찾으라고 하는데요.
앞으로 파인딩 가이드에 위 방식을 파인딩 가이드에 추가하면 좋을거 같습니다.
방법
그래서 어떻게 쓰냐?
ollydbg에서는
바이너리 검색(ctrl+b)에서
유동부분을 "?"로 검색하면 됩니다.
위에서 예시를 들었던 것의 경우에는,
e8 ?? ?? ?? ?? be ?? ?? ?? ?? 8b c8 2b f0
요렇게 입력해서 검색하면 됩니다.
====
유용성?
실제로, VNR에서 CS2다루는 방식에서 이렇게 사용하는건 좋은거 같고요.
위의 예시라던가. 생각해보시면 아시겠지만..
유동부분은 대체로 주소를 포함하는 명령어의 경우가 대부분이니. 이런식으로 활용하면 패턴에는 크게 관계없죠.
아무튼 사소한 잡담입니다.(근데 기분이.. 이미 아시는 분이 대부분인거 같다.)
-
시글러스 명령어 관련 주저리
-
기리기리는 어디서 받을 수 있나요
-
サクラノモリ†ドリーマーズ 재밌네요.
-
ollydbg 유동(?)을 포함한 바이너리 패턴
-
vnr 참조소스
-
퐁코츠 팬디스크 기다리는중....
-
ツンデレ従姉妹み小悪魔 이거 한글 없는거 같네요
-
초보자인데 검색이 안되는거 같은데...
-
네이버 번역기에 대한 잡담입니다
-
이 사이트가 여전히 건재하다는 것이 즐겁네요.ㅋ
-
마지코이 성우진들 다시봐도 놀랍네요..
-
파인딩 시간 진짜 오래걸리네요
-
히프노 한글패치는 없나요?
-
PURELY×C∧TION 하고계시는분들 있나요?
-
게임 추천좀 해주세요~
-
흠 지금 아랄트랜스 다운로드 안되는거 저뿐인가요..
-
정겨운 화면이네요
-
이럴수가 코드센터 검색이 이상하네요.
-
EGDB 업데이트 왜 안되나요?
-
큰일 났습니다