[CodeEngn] Basic RCE L06 문제풀이

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.)

 

목표값 : OEP(Original Entry Point) + Serial 값

 

OEP 란?

프로그램의 진짜 시작 위치, 패킹되어 있는 파일을 정상적으로 언패킹 했을 때의 본 시작 위치.

UPX 의 경우에는 POPAD 명령 뒤 JMP 문을 사용해 압축해제된 원본 코드의 위치로 점프하는데, 그 점프문이 실행되어 이동한 주소가 OEP 입니다.

 

실행을 시켜봅니다.

 

 

 

 

사용자가 입력한 값과 시리얼을 비교하는 유형의 문제입니다.

 

 

 

 

입력값과 시리얼이 일치하지 않을 시 실패 메세지박스가 호출됩니다.

 

 

 

 

디버거로 열어보면 PUSHAD 라는 명령이 가장 먼저 눈에 띕니다.

UPX 로 패킹되어 있는 파일이네요.

 

 

 

 

이렇게 PEid 로 패킹된 모습을 확인할 수 있습니다.

 

 

 

 

전 단계에서도 언패킹에 대해 설명했으니 간단히 진행하도록 합시다.

POPAD 명령 뒤 압축해제된 원본 코드로 점프하는 명령에 BP 를 걸고 실행을 해 줍니다.

[F8] 키로 이동하면 아래와 같이 언패킹된 코드를 볼 수 있습니다.

00401360 주소로 이동했으니, OEP 는 00401360 입니다.

 

 

 

 

이제 덤프를 떠 줘야겠죠?

(마우스 우클릭 -> Dump debugged process)

Rebuild 옵션에 체크를 해제하지 않고 진행합니다.

그대로 Dump 버튼을 눌러 06_dump 로 저장하겠습니다.

 

 

 

 

덤프를 뜬 파일을 실행해보면 잘 돌아가는 것을 볼 수 있습니다.

패킹이 풀렸는지 PEid 로 확인을 해 보겠습니다.

 

 

 

 

이렇게 정상적으로 압축이 해제되었습니다.

이 상태로 디버거에 올려보겠습니다.

 

 

 

 

원본 코드가 보입니다.

원래는 All referenced text strings 기능을 이용하려 했으나, 아래와 같이 아무런 문자열도 보이지 않습니다.

 

 

 

 

그 관계로 All intermodular calls 기능을 사용하도록 하겠습니다.

All intermodular calls 대신 Back to user mode 를 사용할 수도 있습니다.

 

Back to user mode?

Back to user mode 란 특정 이벤트가 일어나기 전에 설정하며, 특정 이벤트의 call 명령이 일어난 다음 그 주소를 잡을 수 있는 기능입니다.

어떻게 하는가?

 

디버거에서 파일을 실행해 줍니다. 

아무 값이나 입력한 뒤 오류 문자열을 띄우고, 오류 메세지박스의 확인 버튼을 누르지 않은 채로 프로그램을 정지시켜 줍니다. (좌측 상단바의 정지 버튼 혹은 [F12] 키를 사용합니다.) 

여기서 [Alt + F9] 키를 누르면 Back to user mode 로 들어갈 수 있습니다.

여기서 에러 메세지박스의 확인 버튼을 누르면 그 주소로 이동할 수 있습니다.

저는 PEid 로 언팩된 파일을 열어봤을 때, Visual C++ 을 사용한 것으로 보아 에러 창을 호출할 때 Win32 API 의 MessageBox 함수를 사용했으리라 추측했습니다. 

우클릭 -> Search for -> All intermodular calls 기능으로 MessageBox 함수를 찾아봅시다.

 

 

 

 

어렵지 않게 찾을 수 있었습니다.

더블클릭으로 위 주소로 이동해줍시다.

 

 

 

 

이렇게 메세지박스 호출 전후로 성공/실패시 출력되는 문자열이 보입니다.

조건 분기문은 성공 문자열 위에 있을 겁니다.

 

 

 

 

이 JNZ 명령이 실행되면 실패 문자열 출력 바로 위 주소로 이동하네요.

위 TEST 명령으로 EAX 가 0이 아니면 JNZ 명령의 실행으로 실패하게 됩니다.

EAX 라면 리턴 값을 저장하는 범용 레지스터였죠?

그렇다면 바로 위에서 호출되는 함수에 주목해야 합니다.

 

 

 

 

이렇게 TEST 명령의 위, 함수를 호출하는 부분에 BP 를 걸어줍니다.

이 함수는 PUSH 명령을 통해 두 개의 인자를 전달받는데, 하나는 아직 모르고 다른 하나는 "AD46DFS547" 이라는 문자열입니다.

BP 까지 실행해봅시다.

 

 

 

 

아까 실패했던 문자열을 넣어줍니다.

 

 

 

 

주석 창에 사용자가 입력한 시리얼 값이 추가가 됩니다.

PUSH 명령으로 이 함수에 전달되는 인자 하나는 제가 입력한 값이였네요.

(00401073 주소서 호출되는 함수의 인자 : 사용자가 입력한 시리얼,  AD46DFS547 이라는 문자열)

그렇다면 이 함수는 문자열 비교 함수일 겁니다.

 

 

 

이렇게 함수 내부로 step in 해보면 EDX 에 AD46DFS547 이라는 값을, ECX 에 우리가 입력한 값을 넣습니다.

EDX의 4 byte 를 EAX에 넣어 ECX와 1 byte 씩 비교하고, ZF = 0 이면 1을 리턴하고 ZF = 1이면 비교하는 과정을 계속 반복합니다.

 

간단히 말해 우리가 입력한 값과 AD46DFS547 을 비교하는 과정입니다.

이 AD46DFS547 이라는 값을 프로그램의 시리얼 값으로 넣어보겠습니다.

 

 

 

 

Check Serial 버튼을 누릅니다.

 

 

 

 

 

이렇게 성공 메세지박스가 호출됩니다.

따라서 시리얼 값은 AD46DFS547 입니다.

 

우리가 구해야 하는 값은 OEP + Serial 값이니 답은 00401360AD46DFS547 입니다.

 

OEP + Serial = 00401360AD46DFS547