[IDA] 분석 과정 단축키 모음
단축키
h: hex와 decimal 변환
n: 변수명 변경
c: Directly convert to code, sh(쉘 스크립트에 대해) 코드 변경(Data → Instruction)
p: 코드에 대해 함수로 변경(Instruction → Regular finction)
m: (pseudo code) enum 변경, (e.g. 숫자 → RESOURCEDISPLAYTYPE_FILE)
d: db dd dw 변환
db: define byte(바이트), 1byte의 메모리 할당
dd: define double-word, 4byte 메모리
dw: define word, 2byte 메모리
a: (db) 문자열로 변환
pseudo code의 좌측에 함수가 많이 없으면 패킹되었을 확률이 큼
메모리를 할당하면 쉘 코드(v47)를 올릴 확률이 큼
v47 = VirtualAlloc(IpAddress, 3 * v46, flAllocationType, 16 * v17
shellcode = (int (__stdcall *)(_DWORD, _DWORD))v47;
더미코드: ① 정의하고 쓰지 않는 것 ② 연산한 후 다른 값으로 덮어씌우는 것
__DWORD 포인터에 저장된 데이터를
좌측 Function에 연두색 배경 표시되어 있다면, 클라우드에 미리 알려진 name으로 설정된 것
PE 헤더가 들어가는 부분(60, 120 - 0x3C, 0x78)
terminus project
윈도우 헤더 정보들을 정리해놓은 것
이것은 PE 헤더이므로 dos로 검색
