Windows 2000の osloader.exe を逆アセンブルしてみた

osloader.exe は、 PEヘッダすら含まない特殊な形式をしています。
Windows 2000の場合、メモリ上に直接取り込んで実行されるという特殊な処理を行っているようです。

逆アセンブルするためには、XPの ntldr を借りてくることにします。

ntldr2
まず、先頭に、 ntldr の PEヘッダまでの部分、 0xd4 バイトを挿入します。

ntldr3
次に挿入した0xd4バイトのつじつまを合わせるために、ディレクトリテーブルの後ろの空白を 0xd4バイト削除します。

これで、とりあえず逆アセンブル可能になります。

ntldr4
こんな感じ ・ω・

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です