디버거 : x64dbg
분석환경 : Window 10
Original Entry Point 를 구하는 문제이다.
UPX(2.01) 버전으로 패킹 되어 있습니다.
해당 프로그램의 EP 주소로 이동했습니다.
실행 압축을 풀기위해서 pushad 명령어로 내 레지스터 데이터들을 모두 스택에 넣는 것 같습니다.
원본코드 주소(OEP) 주소로 이동하기 위해 ESP 주소에 하드웨어 중단점을 설정하였습니다.
pushad 명령어로 스택에 넣어둔 데이터를 다시 꺼내오기 위해 popad 명령어로 이전에 걸었던 ESP 주소에
중단점이 적중됬습니다. 후에 JMP로 어딘가로 주소로 이동하는 코드가 보입니다.
점프 해보니 OEP 주소를 찾은것 같습니다.
'Reversing > CTF' 카테고리의 다른 글
| CodeEngn Basic RCE 10 문제 풀이 (0) | 2022.05.08 |
|---|---|
| CodeEngn Basic RCE 09 문제 풀이 (0) | 2022.05.08 |
| CodeEngn Basic RCE 07 문제 풀이 (0) | 2022.05.08 |
| CodeEngn Basic RCE 06 문제 풀이 (0) | 2022.05.07 |
| CodeEngn Basic RCE 05 문제 풀이 (0) | 2022.05.07 |
