Reversing/CTF (16) 썸네일형 리스트형 CodeEngn Basic RCE 08 문제 풀이 디버거 : x64dbg 분석환경 : Window 10 Original Entry Point 를 구하는 문제이다. UPX(2.01) 버전으로 패킹 되어 있습니다. 해당 프로그램의 EP 주소로 이동했습니다. 실행 압축을 풀기위해서 pushad 명령어로 내 레지스터 데이터들을 모두 스택에 넣는 것 같습니다. 원본코드 주소(OEP) 주소로 이동하기 위해 ESP 주소에 하드웨어 중단점을 설정하였습니다. pushad 명령어로 스택에 넣어둔 데이터를 다시 꺼내오기 위해 popad 명령어로 이전에 걸었던 ESP 주소에 중단점이 적중됬습니다. 후에 JMP로 어딘가로 주소로 이동하는 코드가 보입니다. 점프 해보니 OEP 주소를 찾은것 같습니다. CodeEngn Basic RCE 07 문제 풀이 해당 프로그램에서 메세지박스를 띄우는 주소로 이동해봅시다. 우선 내가 입력한 시리얼인 CodeEngn 문자열이 담기는 주소가 보입니다. 대충 보았을때 매개변수로 들어가는 걸 보아하니 또 문자열을 비교후 분기하는 내용 같습니다. 우선 lstrcmpiA 함수가 무슨 함수인지 구글에 검색해보았습니다. 두 문자열을 비교하는 함수이며 반환값은 문자열 크기를 비교하여 작으면 음수를 반환하고 크면 양수를 같으면 0을 반환하네요. 후에 반환값이 0인지 체크후 0이면 성공 문으로 가는 코드를 확인 할 수 있습니다. 그럼 해당 프로그램의 시리얼은 07.exe+2000 주소에 담긴 문자열이 시리얼이 되겠네요. 하지만 문제는 내 C 드라이브가 CodeEngn일떄 시리얼을 획득 하는 것입니다. 확인을 위해 C드라이브 명을 Co.. CodeEngn Basic RCE 06 문제 풀이 디버거 : CheatEngine 분석환경 : Window 10 프로그램을 실행해봤더니 이번에도 시리얼을 획득하는 프로그램이다. 우선 pe툴로 열어 패킹여부를 확인해보자 UPX(3.03)으로 패킹되어 있고 EP는 004298F0 이라고 출력해주고 있다. EP 주소부분으로 이동해봤지만 기존 함수 프롤로그 코드(스택 프레임)가 보이지않고 웬 PUSHAD 로 시작하는 코드가 있다. 실행압축 패킹은 이렇게 처음 시작될때 PUSHAD 명령어로 기존 레지스터 데이터를 모두 스택에 넣었다 압축을 풀고 다시 POPAD 명령어로 넣었던 데이터를 스택에서 꺼내와서 원본 코드(OEP)로 이동한다. 언패킹을 하는 방법은 여러가지가 있지만 수동적으로 하는 대표적인 방법으론 PUSHAD를 하고 스택에 있는 데이터에 Access B.. CodeEngn Basic RCE 05 문제 풀이 디버거 : CheatEngine 분석환경 : Window 10 해당 프로그램을 확인해본 결과 UPX(1.01)로 패킹이 되어 있고 Delphi로 개발된걸 확인. 어차피 실행된 프로그램을 치트엔진으로 분석할거기 때문에 따로 언패킹 할 필요가 없어서 upx 언패킹하는 과정은 생략.. x64dbg로 붙이고 트레이스하며 분석하려면 언패킹 과정이 필요하다. 이유는 실행압축 이기 때문에 프로그램을 실행하기 전엔 압축되어 코드 섹션의 압축과 암호화 많은 양의 데이터가 끼워 들어가기 떄문에 EP를 정상적으로 확인 할수없고 코드가 뒤죽박죽으로 보인다. 하지만 후에 프로그램이 실행되는 마지막 과정에 압축이 풀리면서 코드를 정상적으로 확인 할수있다. 이런 특징 떄문에 자신의 프로그램을 보호 하기 위한 용도로 사용되었지만.... CodeEngn Basic RCE 04 문제 풀이 디버거 : CheatEngine , x64dbg 분석환경 : Window 10 해당 프로그램은 디버깅을 탐지하는 안티 디버깅 코드가 있다. 안티 디버깅이란 디버깅을 방지하고 분석하는것을 방해하기 위한 기술이라 볼 수 있다. 해당 프로그램을 그냥 실행해보면 정상이라는 문자가 출력되지만 해당 프로그램을 디버거로 붙여보면 디버깅 당함 이라는 문구가 출력된다. 어딘가 코드에서 디버깅을 감지하는 안티 디버깅 코드가 있을거로 추정된다. 문자열을 추적하여 해당 주소를 우선 찾아준다. KERNELBASE.IsDebuggerPresent() 라는 함수가 보인다. 해당 함수를 구글에서 검색해보면 역시나 디버깅 동작을 감지하는 함수이고 반환값은 디버깅중일시 0이 아니라고 나와있다. breakpoint(중단점)을 걸어 반환 .. CodeEngn Basic RCE 03 문제 풀이 디버거 : CheatEngine , x64dbg 분석환경 : Window 10 우선 해당 프로그램을 실행해봤습니다. 실행하자마자 메세지박스가 뜨네요. 일단 나중에 이 Nag 메세지를 안띄우게 하기로 하고 시리얼을 입력하여 성공 , 실패 여부를 받는 프로그램인것 같습니다. 해당 프로그램의 패킹 여부와 EntryPoint를 확인해봤습니다. 언어는 Visual Basic으로 코딩됬고 EP는 00401168 , 패킹은 안되있는것 같습니다. 프로그램을 실행하여 아무 문자나 입력하니 역시 실패 문구가 뜹니다. 우선 디버거로 열어서 해당 주소를 찾아야하니 문자열을 이용하여 찾아줍니다. 우선 파인드아웃 기능을 사용하여 해당 문자열을 사용하는 주소를 추적하여 주소를 찾아봤습니다. 해당 문자열을 담고 메세지박스를 띄우는 .. CodeEngn Basic RCE 02 문제 풀이 해당 실행 프로그램의 패스워드를 알아내라는 문제이다. 실행해봤더니 해당 환경에서 실행할수 없다는 문구가 뜬다. 디버거로도 열어봅시다. 역시 열리지 않습니다. 동적환경에서 분석이 불가능하니 정적분석으로 분석을 해야되는데 이떄 가장 좋은 방법이 Hex-Editor 을 사용합니다. 밑으로 스크롤을 내리다보니 여러 사용되는 함수들이 보이네요. 더 내려봅니다. 해당 메모리주소에서 메세지박스 내용으로 추측되는 문자열이 있습니다. ADDialog.ArturDents CrackMe#1 : 제목 내용(?)으로 추측됩니다. Nope, try again!. : 실패 메세지로 추측되네요. Yeah, you did it!. : 성공 메세지로 추측됩니다. JK3FJZh : 이 부분이 암호로 추측됩니다. 암호로 추측하는 이유는 해.. CodeEngn Basic RCE 01 문제 풀이 디버거 : CheatEngine 분석환경 : Window 10 우선 해당 프로그램이 어떤 동작을 하는 프로그램인지 직접 실행하여 확인해봤습니다. 나의 HD를 CD-Rom으로 인식하도록 하는것이 이번 문제 해답인것 같습니다. 우선 GetDriveTypeA 의 리턴값이 어떻게 반환되는지 확인하기 위하여 구글에서 해당 함수를 검색해봅니다. 해당 Return 되는 값을 봤을떄 GetDriveTypeA 함수는 CD-ROM일시 5를 반환한다는걸 알수있습니다. 이제 디버거로 열어봅시다. GetDriveTypeA에 BreakPoint(중단점)을 걸고 다음 단계로 넘어가봅시다. GetDriveTypeA에 매개변수로 들어가는 값을 확인해보면 나의 드라이브의 루트 디렉터리가 push 되는것을 확인할수있습니다. GetDriv.. 이전 1 2 다음
