EASY7

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 OEP를 구하시오 Ex) 00400000 파일에 대한 이해 UPX로 패킹된 파일이다. 문제 풀이 UPX로 패킹된 파일의 구조는 PUSHAD로 시작해서 POPAD로 끝난다. POPAD가 끝나면 OEP(Original Entry Point)로 점프해주니 그곳을 찾아가보자 기껏 찾아왔더니 레지스터 ESP와 EAX 값이 다르면 세줄 위로 점프 시켜버린다.. 그래서 ESP와 EAX값을 동일하게 변경시켜주니 다음줄로 갈 수 있었고 OEP를 알아낼 수 있었다.

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 컴퓨터 C 드라이브의 이름이 CodeEngn 일경우 시리얼이 생성될때 CodeEngn은 'ß어떤것'으로 변경되는가 파일에 대한 이해 알맞는 시리얼 넘버를 넣으면 성공 문제 풀이 1. GetDlgItemTextA 함수에 break point 걸고 실행 2. 뭔지 모르겠으니 dialog box 에 '1111' 넣어보자..ㅎㅎ 3. F8로 계속 내려오다 보면 lstrcmpiA 함수가 있다. 그리고 내가 넣었던 '1111'도 있다. 입력값과 L2C-57816784-ABEX와 같으면 성공일 거라고 유추한다. 4. 역시나 성공.! 함수 공부 GetDlgItemTextA : 대화상자에 텍스트를 가져온다..

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 Unpack을 한 후 Serial을 찾으시오. 정답인증은 OEP + Serial Ex) 00400000PASSWORD 문제 풀이 1. 파일이 PUSHAD로 시작하는 것으로 보아 UPX 패킹 되어있음을 알 수 있음. 2. 스크롤을 내려, POPAD를 찾아 F4(커서 까지 실행하라) 입력 3. JMP까지 F7 4. OEP : 00401360 확인. 5. OEP 부분에서 OllyDump. 언팩된 파일을 IDA로 열어보니, 비교함수 (strcmp)앞에 비밀번호 같은 문자 발견 : AD46DFS547 답 : 00401360AD46DFS547

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 이 프로그램의 등록키는 무엇인가 파일에 대한 이해 EP:0x55BB0 ImageBase:0x400000 시리얼 넘버가 틀리면 Wrong Serial, try again! 뜬다. UPX 패킹되어있다. OllyDbg로 열었을 때, 처음에 나오는 PUSHAD 명령어로 보아 UPX 패킹되어있는 것을 알 수 있다. 패킹된 파일의 EP에 PUSHAD 명령어로 레지스트리 값들을 스택에 넣고 패킹을 풀고 POPAD 명령어로 앞서 스택에 넣어두었던 레지스트리 값들을 복원시킨다.. PUSHAD~POPAD사이에 합축해제 코드가 실행되고 POPAD 이후 JMP명령어를 통해 OEP로 이동한다.(OEP는 패킹된 파..

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고 있다. 디버거를 탐지하는 함수의 이름은 무엇인가 파일에 대한 이해 ImageBase : 0x100000 EP : 0x1000 IsDebuggerPresent 함수 -디버거가 아니면 0 -디버거면 0이 아닌 값. 문제 풀이 나는 올리디버거로 돌려도 정상으로 나오는데 어찌된 일인지 해서 리버싱 선배님들한테 물어보니! 올리디버거를 플러그인으로 패치한 것 같다고, 올리디버거 홈페이지에서 오리지널 버전으로 다운로드 받아서 시도해보라고 하셨습니다! 생각해보니 이 올리디버거는 악성코드 분석 교육받을 때 받은 거라서 IsDebuggerPresent함수..

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) IDA 32 문제 비주얼베이직에서 스트링 비교함수 이름은? 파일에 대한 이해 EP : 0x1000 ImageBase : 0x400000 변기통 아이콘의 실행파일을 클릭하면 Entferne diesen nag, oder bekomme das richtige passwort heraus!(독일어...) ->Remove this nag or get a valid password! ->이 잔소리를 제거하거나 올바른 암호를 얻으십시오! Error! Das Passwort ist falsch! ->Error! The password is invalid! ->오류! 암호가 잘못되었어! 문제 풀이 비주얼베이직에 사용하는 ..

실습환경 VMware Workstation OS : Window XP 사용툴 HxD Editor 문제 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 파일에 대한 이해 -EXE 실행파일 실행파일이 손상되어 NTHeader에서 PE 시그니쳐를 발견할 수 없다. -ImageBase : ? -Entry Point : ? PE 시그니쳐를 발견하지 못해.. 실행도, 올리디버거도, 아이다도 이용할 수 없다.. 문제 풀이 HxD Editor로 함수 이름, 문자열들을 볼 수 있었다. JK3FJZh 이 패스워드처럼 생겨서 Auth 에 입력해보니 성공!

실습환경 VMware Workstation OS : Window XP OllyDbg(shadow) 문제 HDD를 CD-Rom으로 인식시키기 위해서는 GetDriveTypeA의 리턴값이 무엇이 되어야 하는가 파일에 대한 이해 -EXE 실행파일 -ImageBase : 0x400000 -Entry Point : 0x1000 -클릭 시 연속적인 메세지 박스가 뜬다. -GetDriveTypeA 함수의 리턴값을 변경해주면 CD-Rom이 있다고 착각하게 할 수 있을 것이다. 문제 풀이 1.GetDriveTypeA는 CD ROM의 유무를 알려주는 함수로 추정된다. 리턴값은 EAX레지스터에 저장되며 3이다. 2. 리턴값은 EAX에 저장되며, 그 후 값이 변경된다. ESI는 세 번 1씩 증가하고 EAX는 두번 1씩 감소한..