0x008 reverse1.exe ทบทวนสรุปการมอง PE Files
Blog นี้จะเป็นการเขียนทบทวน สรุปเป็นหัวข้อ และ short note สั้นๆเอาไว้
ก่อนที่จะเข้าสู่เรื่องต่อไป
ยังคงใช้แนวคิดเดิมคือ "เรารู้มากหรือรู้น้อยแค่ไหนกับ file นี้"

อธิบายคำศัพท์เปิดหัวก่อนเลย
::: Decompiler (ดีคอมไพเลอร์)
    หน้าที่: แปลงโค้ดเครื่อง (Machine Code) หรือไบนารีกลับเป็นโค้ดภาษาระดับสูง (High-Level Language) เช่น C, Java, Python
ตัวอย่างเช่น
    >> IDA Pro (กับ Hex-Rays Decompiler): พยายามอย่างแรงกล้า ที่จะแปลง malware.exe จาก Assembly มาเป็น โค้ด C-like ให้ผู้ใช้วิเคราะห์ได้ง่ายที่สุด
    >> Ghidra: สร้างโดย NSA ก็เก่งในเรื่อง static analysis นะ และโดดเด่นมาทางรีเวิร์ส Windows Driver (*.sys) แต่ไม่เข้ามือผมเท่าไหร่ 555
    >> dnSpy: สำหรับ .NET Applications (เช่น app.exe ที่คอมไพล์ด้วย C#)

    ! ข้อจำกัด: โค้ดที่ได้อาจไม่เหมือนต้นฉบับ 100% เนื่องจากข้อมูลบางส่วนหายไประหว่างการคอมไพล์




::: Debugger (ดีบักเกอร์)
    หน้าที่: ใช้ติดตามและวิเคราะห์การทำงานของโปรแกรมขณะรัน เช่น ดูค่าตัวแปร, ตั้งจุดหยุด (Breakpoint), แก้ไขหน่วยความจำ
ตัวอย่างเช่น
    >> x64dbg: ติดตามการทำงานของ malware.exe ดูการเขียน Registry เป็นต้น , โคตรมันส์ตัวนี้
    >> WinDbg: ดีบัก Windows Kernel (ntoskrnl.exe) หรือ BSOD โคตรลึกตัวนี้ Windows native เน้นๆ
    >> OllyDbg: ตัวนี้ก็ดีแต่เก่าไปหน่อย ใครเคยใช้มาเล่าบ้างครับ

    ! ใช้เมื่อ: ต้องการหาบั๊กหรือวิเคราะห์พฤติกรรมโปรแกรมแบบเรียลไทม์ หรือพูดง่ายๆ รันจริง แล้วดู ทีละสเต็ปๆ



::: Disassembler (ดิสแอสเซมเบลอร์)
    หน้าที่: แปลงโค้ดเครื่องเป็น Assembly Language (ภาษาระดับต่ำ)
ตัวอย่างเช่น
    >> IDA Freeware: เปิด reverse1.exe เพื่อดูฟังก์ชันต่างๆ เป็นตัวเริ่มต้น reverse ของใครหลายๆคน ผมด้วย แต่ตอนนี้ไปที่ rizin ก่อน 555
    >> rizin: นั่นแหละ เรากำลังทำกันอยู่เลย
    >> Binary Ninja: อีกตัวนึง ที่มีทั้งฟรีและจ่ายเงิน

    ! ต่างจาก Decompiler: กระบวนการนี้มักจะไม่พยายามแปลงกลับเป็นภาษาระดับสูง แต่แสดงผลเป็น Assembly เป็นหลัก ก็คือ rizin ที่พวกเรากำลังใช้อยู่นี่เอง




::: Disassembly (ดิสแอสเซมบลี)
    ความหมาย: กระบวนการ แปลงโค้ดเครื่อง → Assembly (ผลลัพธ์ที่ได้อาจเป็น Text File หรือแสดงใน Tool)
ตัวอย่างเช่น
    >> Process Hacker: อาจะมีคนเคยใช้ ตัวอย่างเช่น ใช้ดู Memory ของ chrome.exe แล้ว Disassemble เพื่อหา Injection Code
    >> PE Explorer: ตัวอย่างเช่น เปิด python310.dll มันจะ แสดง Assembly ของฟังก์ชัน PyRun_SimpleString ก็คือกระบวนการดิสแอสเซมบลี




::: Linker (ลิงเกอร์)
    หน้าที่: รวม Object Files (.obj/.o) จากคอมไพเลอร์เป็นไฟล์ที่สามารถ Executable หรือสร้างเป็นไลบรารี
ตัวอย่างเช่น
    >> Visual Studio's link.exe: รวม .obj ของโปรแกรม C++ กลายมาเป็น app.exe
    >> MinGW's ld.exe: ลิงก์ไฟล์จาก GCC เป็น reverse1.exe ที่ผมเคยเขียนเล่าไปใน blog ก่อนหน้า

    เกี่ยวข้องกับ: การแก้ไข Symbol (ชื่อฟังก์ชัน/ตัวแปร) และจัดสรรหน่วยความจำ




::: Loader (โหลดเดอร์)
    หน้าที่: โหลดโปรแกรมจากดิสก์เข้า RAM และเตรียมสภาพแวดล้อมก่อนรัน (เช่น จัดสรร Memory, Resolve Dynamic Links)
ตัวอย่างเช่น
    >> Windows Loader (ntdll.dll): โหลด explorer.exe พร้อม DLL ที่จำเป็น (เช่น user32.dll)
    >> DLL Hijacking: แทนที่ version.dll ในโฟลเดอร์โปรแกรมเพื่อโหลดโค้ดปลอม



::: Pack (แพ็ก)
    กระบวนการ: บีบอัดหรือเข้ารหัสไฟล์ เพื่อลดขนาดหรือป้องกันการวิเคราะห์ (เช่น UPX, Themida)
ตัวอย่างเช่น
    >> UPX: บีบอัด reverse1.exe เพื่อเน้นไปในเรื่องการลดขนาดไฟล์
    >> Themida: แพ็ก reverse1.exe เพื่อเน้นไปในเรื่องป้องกันการ Crack



::: Unpack (อันแพ็ก):
    กระบวนการ: แกะไฟล์ที่ถูกแพ็กกลับสู่รูปแบบเดิมก่อนวิเคราะห์ด้วย Debugger/Disassembler มักใช้ใน Malware Analysis หรือการป้องกัน Reverse Engineering
ตัวอย่างเช่น
    >> unpack.py (ด้วย PEfile): แกะ packed_malware.exe ที่น่าจะใช้ VMProtect เข้ามา



เข้าสู่เนื้อหาอีกมุมกันเลยครับ