[CodeEngn] Basic RCE L19 문제풀이

 

코드엔진 사이트

 

목표값 : 프로그램이 종료되기까지 걸리는 시간 (밀리세컨드)

 

실행을 시켜보면 몇 초 뒤 종료됩니다.

 이 시간을 직접 측정하기는 어려우니 분석을 해 보도록 합시다.

 

 

PEiD로 열어보면 프로그램이 UPX로 패킹되어있음을 확인할 수 있습니다.

 

 

디버거로 열어볼게요.

 

 

pushad 명령이 보입니다.
우리에게 익숙한 upx 패킹이니 간단히 언패킹 해 줍니다.

언패킹 방법 

[Ctrl + F]로 popad 명령을 찾은 뒤 그 주소로 이동한다.

popad 명령 밑 OEP로 jmp하는 명령을 찾은 뒤, 해당 명령에 BP를 걸고 F9으로 실행해준다.

F8 키를 한번 눌러 압축해제된 원본 코드로 이동한다.

아래는 원본 코드입니다.

 

 

여기서 그냥 실행해볼까요?

 

 

안티 디버깅 기법이 적용되었네요.
디버거에 올려 실행했을 때와 일반 환경에서 실행했을 때의 결과가 다릅니다.
마치 베이직 4번 문제처럼요.
4번 문제에서는 IsDebuggerPresent 라는 함수를 사용하여 결과가 정상, 또는 디버깅 당함으로 분기했었죠.

그럼 19번 문제도 어렵지 않게 풀 수 있습니다.
디버거를 탐지하는 함수를 찾은 다음, 그 바로 밑 분기점의 코드를 수정하는 방식으로 넘어가 볼게요.

IsDebuggerPresent 함수를 찾아 BP를 걸고 간단히 우회하겠습니다.

 

 

오른쪽 상단바의 전화기 모양 아이콘을 눌러줍니다.

이는 올리디버거의 All intermodular calls와 같은 역할을 합니다.

저 많은 함수 호출 중에서 IsDebuggerPresent를 손수 찾기는 어려울 듯합니다.

 

 

하단의 Search 창에서 찾는 함수 이름을 검색해줍니다.

 

 

꽤나 간편하게 찾을 수 있습니다.

 

 

디스어셈블리 부분을 우클릭한 후, Set breakpoint on all calls to IsDebuggerPresent 을 눌러 모든 IsDebuggerPresent 함수 호출 부분에 BP를 걸어줍니다.

 

 

다시 함수 목록으로 돌아가 봅시다.

우리는 종료 전까지 프로그램이 유지되는 시간을 구해야 하니, 시간 관련 함수를 찾아야겠습니다.
sleep 함수도 있지만 유독 timeGetTime 함수에 눈이 갑니다.
처음 보거나 잘 모르는 함수가 나왔을 때는 MSDN을 이용해 찾아보는 것도 좋습니다.

아래는 MSDN에서 설명한 timeGetTime입니다.

timeGetTime 함수

윈도우가 시작되어서 지금까지 흐른 시간을 1/1000 초 (milliseconds) 단위로 리턴하는 함수.

아마 이 친구가 매우 중요할 것 같아요.

우클릭 -> Set breakpoint on all calls to timeGetTime으로 모든 timeGetTime에 BP를 걸어줍니다.

 

 

 

 

F9 키로 실행해보면 IsDebuggerPresent 함수 호출 부분에서 멈춥니다.

간단히 jne 명령을 je로 바꿔 우회해줄게요.

 

 

저는 하나하나 step-over, step-in 하며 찾았지만, 간단히 MessageBoxW 함수 호출을 여럿 확인해보면서 빨리 풀이하실 수 있습니다.

 

40EA13 함수를 step-over 하면 메시지 박스가 호출됩니다.

 

 

이 함수 내부로 step-in 해 봅니다.

 

 

하나씩 step-over 해 보면, 어느 지점에서 다시 메세지박스가 호출됩니다.

 

 

40B21A 주소에서 호출되는 함수 내부로 진입해봅시다.

 

 

40BCC0 주소 명령에 다시 step-in 해 줍니다.

 

 

45E05F 주소 명령 내부로 들어가 줍니다.

 

 

메시지 박스가 호출되는 부분도 볼 수 있습니다.

아마 MessageBoxW 함수 윗부분에서 호출되는 함수 내부 어딘가에 timeGetTime 함수가 있을 듯합니다.

444D8F 주소에서 함수가 스택에 push 됩니다.

이를 먼저 확인해볼까요?

19.sub_444C3A 함수 내부로 이동해줍니다.

 

 

timeGetTime 함수를 호출합니다.

윈도우가 시작된 시간을 받아온 후, 이를 esi에 옮겨줍니다.

다시 timeGetTime 함수를 호출한 뒤, esi와 현재 timeGetTime의 반환 값인 eax를 비교합니다.

eax 값이 esi 값보다 크거나 같으면 444D38 주소로 점프합니다.

따라가 볼까요?

 

 

eax-esi = 첫 timeGetTime 함수 호출로부터 두 번째 timeGetTime 함수 호출까지 경과된 시간이며, 이를 ebp+4 주소에 저장되어있는 값과 비교하고, eax 값이 크거나 같으면 점프합니다.

경과 시간을 ebp+4 주소에 저장된 값과 비교하니, ebp+4 주소에 들어있는 값이 프로그램이 몇 밀리세컨드 후 종료될지를 결정할 것입니다.

follow in dump 기능으로 값을 확인해줍니다.

 

 

70 2B 라는 값이 저장되어있는데, 이는 리틀 엔디언이기 때문에 2B 70 으로 바꿔 계산해야 합니다.

2B70은 10진수로 11120이니, 이 프로그램은 11120 밀리세컨드 후 종료될 것입니다.

 

 

이 값을 CodeEngn Auth로 인증해봅시다.

 

프로그램이 종료되기까지 걸리는 시간 : 11120