카테고리 없음

윈도 부트로더를 보자

진모씨 2013. 7. 23. 11:51

윈도 부트로더를 IDA로 분석하기는 참 쉽다.

HxD라는 프로그램이 헥스 에디터인데, 디스크도 열 수 있다. 물론 관리자 권한으로 실행해야 한다.



섹터 0에 뭔가 써있는 것을 알 수 있다.

1FE와 1FE에 있는 바이트는 '이건 부팅 디스크이다'라는 의미이다.

나머지는 코드인데, MBR이라고도 한다.


MBR은, 마스터 부트 레코드라 해서, 이 하드디스크로 부팅할 때 가장 먼저 실행된다.


흔히 부트 로더를 '부츠를 싣는 프로그램'이라고도 한다.

여기서는 OS를 로딩하는 역할을 한다. 이 바이트들 안에 OS가 다 들어있는 것은 아니다. 여기서 따로 무언가를 로딩하는것이다.


섹터 0을 복사해서 다른 파일로 저장한다.

이걸 IDA에서 열고,

이걸 OK를 누르면 16비트인지 32비트인지 묻는다.

32비트 OS라면 32비트로 하면 된다.

64비트일 경우 ida 64비트 버전으로 하면 된다.

00000000에서 키보드로 C 누르면 Analyze 선택한다.


이제 부트 로더 코드가 나온다.


http://pastie.org/pastes/3675667# (찾다가 발견한 링크)