[CodeEngn] Basic RCE L04 문제풀이

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호 : codeengn)

 

목표값 : 디버거를 탐지하는 함수 이름

 

한 번 실행을 시켜보겠습니다.

"정상"이라는 문자열이 계속해서 출력됩니다.

문제가 디버거 탐지 함수에 관한 것이니, 아마 이 정상이라는 문자열은 디버거가 탐지되지 않았다는 뜻일 듯 합니다.

 

 

 

 

그렇다면 디버거로 열어서 한 번 실행해보도록 하겠습니다.

 

 

 

 

[Ctrl + F8] 키를 눌러 Animate over 기능을 사용해봅시다.

 

 

 

 

내려가다 한 지점 (00408454 주소) 에서 멈춘 뒤 "디버깅 당함" 이라는 문자열이 연속해서 출력됩니다.

Animate over 기능을 사용했으니 멈춰있는 것처럼 보여도 호출한 함수 내부에서 실행이 되는 것 입니다.

이를 바탕으로 CALL 명령이 호출하는 함수 내부에 디버거를 탐지하는 부분이 있다고 생각했습니다.

 

[F7] 키로 CALL 명령이 호출하는 영역 안으로 들어갑니다.

 

 

 

 

이렇게 IsDebuggerPresent 라는 함수가 눈에 띄네요.

이 부분에서 "디버깅 당함" 혹은 "정상" 문자열 출력으로 결과가 나뉠 듯 합니다.

[Ctrl + F8] 로 Animate over 기능을 사용하여 눈으로 확인해 봅시다.

 

 

 

 

이렇게 한 구간을 계속해서 돌면서 "디버깅 당함" 이라는 문자열을 출력합니다.

여기서 프로그램의 내부 구조를 이해할 수 있습니다.

탐지 함수를 이용해 디버거가 실행되고 있는지를 확인한 후, 그 반환값에 따라 문자열의 출력 결과가 "디버깅 당함" 과 "정상" 으로 분기하는 겁니다. 이 과정을 계속 반복하면서요.

그렇다면 이 영역 내부에 디버거 탐지 함수가 있다는 것이 확실해졌습니다. 

 

이제 디버거 탐지 함수의 반환값에 따라 출력 결과가 달라진다는 것을 이용할 겁니다.

일단 맨 위에서 호출되는 Sleep 함수는 출력 시간을 지연해주는 역할인 듯 하니 넘어갑니다.

IsDebuggerPresent 함수에 BP 를 걸고 반환값과 출력 결과의 관계를 보도록 하겠습니다.

 

 

 

 

[F9] 키로 BP 전까지 실행을 해준 뒤 [F8] 키로 IsDebuggerPresent 함수를 step over 하겠습니다.

레지스터 창을 보면 함수의 리턴값을 저장하는 레지스터, EAX 가 1이 된 것을 확인할 수 있습니다.

 

 

 

이렇게 반환값이 1이 되고, 디버깅 당함이라는 글자가 출력됩니다.

 

 

 

 

이 함수가 디버거 탐지 함수인지 확실히 알아내기 위해 출력 전 리턴값을 바꿔 확인해보겠습니다.

다시 IsDebuggerPresent 함수까지 실행한 후, 1이 된 리턴값을 0으로 수정해줍니다.

 

 

 

 

 

OK 를 누르고 다시 실행해봅시다.

 

 

 

 

디버거를 실행중인데도 정상이라는 메세지가 뜹니다.

IsDebuggerPresent 함수의 반환 값을 수정하였더니 결과가 달라지네요.

따라서 IsDebuggerPresent 함수는 디버거 탐지 함수 입니다.

 

디버거 탐지 함수의 이름 : IsDebuggerPresent

 

(IsDebuggerPresent : 현재 프로세스가 디버거에서 실행이 되면 반환값이 0이 아니고, 현재 프로세스가 다버거에서 실행되지 않으면 반환값이 0이다. -MSDN)