윈도우 소프트웨어 버그헌팅
오디팅
오디팅에 대해 약간 얘기를 하자면..
이미지 파싱 프로그램으로, ReadFile -> Parsing 순일겁니다.
ReadFile_0 이라는 API 가 있기 때문에 이를 IDA의 x (xref)로 따라갑니다.
그러나 이 소프트웨어는 vtable, 전역변수가 많아서 xref로 바로 찍히지 않습니다.
IDA에서 Ctrl + F5 로 Decompiled code를 추출하여
문자열(정규식) 검색으로 + 8))(v 이런 종류의 패턴을 전부 찾아보는 방법이 있습니다.
흔히 발생하는 패턴으로는
readFile(file, data, 2)
readFile(file, buffer, data)와 같이 입력을 검증 없이 사용하는 형태입니다.
그러나 해당 소프트웨어에는 존재하지 않았습니다.
크래시 재현
크래시 재현에는 windbg의 TTD 기능를 사용하는 것이 가장 편리합니다.
DynamoRIO의 CodeCoverage로 IDA Lighthouse 플러그인을 사용하는 방법도 있습니다.
다음 회차는 크래시 분석을 해보겠습니다.
