[CodeEngn] Basic RCE L09 문제풀이

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.)

 

목표값 : 프로그램의 stolenbyte

 

stolenbyte 란?

 

훔쳐진 바이트라는 의미로, 원본 프로그램 코드의 일부분을 패커가 생성한 메모리 영역으로 옮겨 실행하는 기법.

만약 이를 복구하지 않고 덤프를 떠 버리면 OEP 코드 일부가 제거되어 정상적인 실행이 되지 않는다.

 

POPAD 와 OEP로의 점프문 사이에 연속된 PUSH 명령어가 이 stolenbyte 이다.

 

실행을 시켜봅니다.

 

 

 

OK를 눌러줍시다.

 

 

 

 

키 파일이 있는지 확인을 한 후 성공/실패로 분기하는 듯 합니다.

찾아야 할 값은 stolenbyte 이니 크랙은 생략하도록 하겠습니다.

 

 

 

 

stolenbyte 이야기가 나오는 걸 보니 패킹이 되어있겠군요.

PEid로  UPX 패킹이 되어있다는 것을 확인했습니다.

 

 

 

 

 

PUSHAD 명령어가 있습니다.

우클릭 -> Search for -> All comands 기능을 사용해 POPAD 명령어를 찾아봅시다.

 

 

 

 

어렵지 않게 OEP 로 이동해줍시다.

POPAD 밑 OEP로 점프하는 구문에 [F2] 로 BP를 걸고, [F9] 으로 BP까지 실행을 해줍니다.

그 뒤 [F8] 로 JMP 명령을 실행해 OEP 로 이동합니다.

 

 

 

 

이렇게 OEP 에 도착했습니다.

OEP 의 바로 밑에서 MessageBoxA 함수를 호출합니다.

아마 이 부분이 우리가 봤던 '키파일 확인하려면 OK를 눌러라' 를 출력하는 부분일 듯 합니다.

그런데 인자로 0 하나만이 전달되네요.

뭔가 이상하죠?

 

MSDN 에서 MessageBoxA 함수를 한 번 찾아봅시다.

 

MessageBox 함수?

 

MessageBox 함수의 인자 : 

hWnd

유형: HWND

메시지 상자의 소유자 창에 대한 핸들. 이 매개 변수가 NULL인경우 메시지 상자에 소유자 창이 없음.



lpText

유형: LPCTSTR

표시할 메세지. 문자열이 둘 이상의 줄로 구성된 경우 각 줄 간에 캐리지 리턴 및/또는 라인피드 문자를 사용하여 선을 분리할 수 있음.



lpCaption

유형: LPCTSTR

대화 상자 제목. 이 매개 변수가 NULL인경우 기본 제목은 오류.



uType

유형: UINT

대화 상자의 내용 및 동작. 이 매개 변수는 다음 플래그 그룹에서 플래그를 조합할 수 있음.

메시지 상자에 표시된 단추를 나타내려면 다음 값 중 하나를 지정함.



-출처 MSDN-

분명 이 함수는 4개의 인자를 받는데, MessageBox 함수 호출 전 스택으로 0이라는 값 만을 전달하죠?

OEP에서부터 읽어보면 인자 세 개가 모자랍니다.

아마 나머지 세 개의 PUSH된 인자들이 stolenbyte 일 것입니다.
세 개의 PUSH 명령은 모두 12 byte 입니다.

OEP의 위에도 12개의 NOP 명령이 있고, 이는 총 12 byte 입니다.
올라가는 메모리의 양이 같죠?

여기가 stolenbyte 가 들어갈 자리일 것 입니다.

 

다시 디버거를 재시작해 POPAD 와 OEP로의 JMP문 사이에 PUSH 된 값들을 찾아봅시다.

아마 그 값들이 MessageBox 함수의 인자일 겁니다.

 

 

 

 

이렇게 POPAD 와 JMP 사이에 세 개의 값이 PUSH 되네요.

이들이 MessageBox 함수의 인자이자 stolenbyte 입니다.

 

 

 

 

 

한 번 패치해볼까요?

그대로 덤프를 떠 버리면 MessageBox 함수에 전달되는 인자가 모자라 원하는 결과가 나오지 않을 것 입니다.

저 PUSH 명령들을 OEP 앞에 옮겨와 줍니다.

 

 

 

 

00401000 주소부터 [Space] 키로 명령을 수정한 뒤 어셈블을 해 줍니다.

차례대로 PUSH 0, PUSH 00402000, PUSH 00402012 으로 수정합시다.

처음 우리가 보았던 메세지박스에 출력되는 문자가 함수의 인자로 전달되는 모습을 확인할 수 있습니다.

 

 

 

 

이제 덤프를 뜰 겁니다.
OEP 가 0040100C 이였지만 수정을 통해 00401000 주소로 변경되었습니다.

Ollydump 의 플러그인을 이용할 때, Entry Point 의 Modify 값을 100C 에서 1000 으로 바꿔준 뒤 Dump 버튼을 누릅니다.

 

 

 

 

이 파일을 디버거로 열어봅시다. 

정상적으로 패치되어 실행해도 문제가 없습니다.

 

 

 

 

이렇게 POPAD 뒤에서 OEP 앞으로 옮긴 코드가 패커에 의해 이동된 코드라는 것을 확인할 수 있었습니다.

Stolenbyte 는 위의 붉은색 박스 안에 들어있는 값인 6A0068002040006812204000 입니다.

 

Stolenbyte = 6A0068002040006812204000

 

 

 

 

코드엔진의 Auth 를 이용해 인증해봅시다.