👾

문제는 코드엔진 사이트에서 다운받을 수 있습니다. (압축 해제 시 비밀번호 codeengn) 목표값 : OEP + 등록성공으로 가는 분기점의 OPCODE OPCODE 란? 더보기디버거에서 주소가 표시되는 창과 어셈블리 명령이 표시되는 창 사이의 숫자로 나타나는 코드.컴퓨터가 실행할 처리의 종류 (연산의 종류)를 나타냄. 실행을 시켜봅니다. 아무것도 입력이 되지 않는군요.OEP 이야기가 나왔으니 패킹이 되어있겠죠?PEid로 확인해봅시다. ASPack으로 패킹이 되어있습니다. ASPack 패킹의 특징? 더보기PUSHAD -> 복호화 코드 실행 -> POPAD -> Return 0C -> OEP 값 PUSH -> Return으로 OEP 주소로 이동 디버거로 열어봅시다. PUSHAD 명령이 있네요.우클릭 -> ..

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.) 목표값 : 프로그램의 stolenbyte stolenbyte 란? 더보기 훔쳐진 바이트라는 의미로, 원본 프로그램 코드의 일부분을 패커가 생성한 메모리 영역으로 옮겨 실행하는 기법. 만약 이를 복구하지 않고 덤프를 떠 버리면 OEP 코드 일부가 제거되어 정상적인 실행이 되지 않는다. POPAD 와 OEP로의 점프문 사이에 연속된 PUSH 명령어가 이 stolenbyte 이다. 실행을 시켜봅니다. OK를 눌러줍시다. 키 파일이 있는지 확인을 한 후 성공/실패로 분기하는 듯 합니다. 찾아야 할 값은 stolenbyte 이니 크랙은 생략하도록 하겠습니다. stolenbyte 이야기가 나오는 걸 보니 패킹이 되어있겠군요...

문제는 여기서 다운로드할 수 있습니다. 목표값 : 프로그램의 OEP(Original Entry Point) OEP 이야기가 나오는 걸 보니, 이 프로그램은 패킹되어 있을 겁니다.PEid로 한 번 확인해 봅시다. UPX로 패킹이 되어있군요.(UPX 패킹 : PUSHAD로 레지스터 백업 -> 압축해제 루틴 실행 -> POPAD로 레지스터 값 복구 -> OEP로 점프)실행을 시켜봅시다. 간단한 계산기 프로그램이네요.시리얼 값 같은 건 안 찾아도 될 듯합니다. 디버거로 열어보겠습니다. 이렇게 PUSHAD 명령어로 EAX~EDI 레지스터를 스택에 백업하는 모습을 볼 수 있습니다.익숙한 패턴이죠? 스크롤을 내리다보니 POPAD 명령을 찾았습니다.이 압축 해제 루틴의 맨 밑에는 원본 코드로 이동하기 위한 JMP 명령..

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.) 목표값 : C 드라이브의 이름이 CodeEngn 일 경우 시리얼이 생성될 때 CodeEngn 이 바뀐 이름 먼저 실행을 시켜보겠습니다. 아무 값을 입력한 뒤 확인을 눌러줍니다. 입력한 시리얼 값이 올바르지 않다고 합니다.사용자가 입력한 값과 어떤 알고리즘에 의해 생성된 시리얼 값을 비교해 분기하는 익숙한 유형의 문제입니다.디버거로 열어줍니다. 조금 내려 보면 GetVolumeInformation 함수의 VolumeNameBuffer 로 C드라이브의 이름을 받는 부분이 있습니다.C드라이브의 이름은 메모리의 0040225C 주소에 저장이 됩니다.현재 제 C드라이브의 이름은 설정되어 있지 않습니다. 00401099 부터..

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.) 목표값 : OEP(Original Entry Point) + Serial 값 OEP 란?더보기프로그램의 진짜 시작 위치, 패킹되어 있는 파일을 정상적으로 언패킹 했을 때의 본 시작 위치.UPX 의 경우에는 POPAD 명령 뒤 JMP 문을 사용해 압축해제된 원본 코드의 위치로 점프하는데, 그 점프문이 실행되어 이동한 주소가 OEP 입니다. 실행을 시켜봅니다. 사용자가 입력한 값과 시리얼을 비교하는 유형의 문제입니다. 입력값과 시리얼이 일치하지 않을 시 실패 메세지박스가 호출됩니다. 디버거로 열어보면 PUSHAD 라는 명령이 가장 먼저 눈에 띕니다.UPX 로 패킹되어 있는 파일이네요. 이렇게 PEid 로 패킹된 모습을..

문제는 여기서 다운받을 수 있습니다. (압축 해제 비밀번호 : codeengn) 목표값 : 프로그램의 등록키 이번 문제에서는 패킹에 대한 내용을 다룹니다. 패킹이란? 더보기 실행 파일을 대상으로 한 실행 압축을 의미합니다. ZIP, RAR 등 따로 압축을 해제해야 하는 파일과는 달리, 이 패킹된 파일은 내부에 압축 해제 코드를 가지고 있어 실행되는 순간 메모리에서 압축을 해제한 후 실행됩니다. 주로 데이터 압축 (실행 파일 크기 줄이기) 이나 데이터 보호가 목적입니다. 실행을 해 봅시다. 이름과 등록 키를 받아서 이를 검사한 뒤 성공/실패로 분기하는 익숙한 유형의 프로그램입니다. 이렇게 아무거나 입력한 뒤 Register now! 버튼을 눌러줍니다. 올바르지 않은 시리얼이라고 합니다. 그럼 올바른 이름과..

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호 : codeengn) 목표값 : 디버거를 탐지하는 함수 이름 한 번 실행을 시켜보겠습니다."정상"이라는 문자열이 계속해서 출력됩니다.문제가 디버거 탐지 함수에 관한 것이니, 아마 이 정상이라는 문자열은 디버거가 탐지되지 않았다는 뜻일 듯 합니다. 그렇다면 디버거로 열어서 한 번 실행해보도록 하겠습니다. [Ctrl + F8] 키를 눌러 Animate over 기능을 사용해봅시다. 내려가다 한 지점 (00408454 주소) 에서 멈춘 뒤 "디버깅 당함" 이라는 문자열이 연속해서 출력됩니다.Animate over 기능을 사용했으니 멈춰있는 것처럼 보여도 호출한 함수 내부에서 실행이 되는 것 입니다.이를 바탕으로 CALL 명령이 호출하는 함수 내부에..

문제는 여기서 다운받을 수 있습니다. (압축해제 시 비밀번호는 codeengn 입니다.) 목표값 : 비주얼베이직에서의 스트링 (문자열) 비교 함수 이름 아마 분석해야 할 프로그램은 비주얼베이직으로 만들어졌을겁니다. 실행을 시켜보겠습니다. 독일어로 쓰인 메세지박스가 하나 호출됩니다. nag 을 제거하거나 올바른 암호를 입력하라는 이야기입니다. 확인을 눌러줍시다. 등록 코드를 입력하라는 창이 뜹니다. 시험삼아 test1234 라고 입력한 뒤 Registrieren 버튼을 눌렀습니다. 올바른 암호가 아니라고 합니다. 패스워드와 사용자가 입력한 값을 비교해 성공/실패로 분기하는 듯 합니다. 디버거로 열어봅시다. 아까 보았던 실패 문자열을 찾아가보도록 하겠습니다. 마우스 우클릭 -> Search for -> Al..

문제는 여기서 다운받으시면 됩니다. (마찬가지로 압축 해제 시 비밀번호는 codeengn 입니다.) 목표값 : 손상된 실행파일의 패스워드 주어진 문제는 손상된 실행파일이라고 합니다. 역시나 이 파일을 실행시켜보면 이런 오류 메세지들이 뜹니다. 디버거로 열어봐도 아래와 같은 메세지만 뜹니다. 디버거로도 볼 수 없으면 HxD 같은 프로그램을 사용해보도록 합시다. (HxD란? 사용자가 선택한 파일의 Hex code 를 보여주며 편집 기능을 제공하는 프로그램 입니다.) 헥스 에디터로 손상된 파일을 열어줍니다. (왼쪽 상단 파일 -> 열기) 스크롤을 조금 내리다 보면 00000786 ~ 000007AA 주소에 저장된 문자열을 볼 수 있습니다. Yeah, you did it! Crackme #1 JK3FJZh 해냈..

문제는 여기서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.) 목표값 : HDD를 CD-Rom으로 인식시키기 위한 GetDriveTypeA의 리턴값 (GetDriveTypeA 함수란? Win32 API 함수이며 디스크 드라이브가 이동식, 고정, CD-ROM, RAM 디스크 또는 네트워크 드라이브인지 여부를 결정합니다. 드라이브의 종류에 따라 함수의 반환 값이 달라집니다. -MSDN) 먼저 실행을 시켜보겠습니다. 아래와 같은 메세지 박스가 뜹니다.HDD 를 CD-Rom 으로 생각하게 만들어야 한다고 하네요.확인을 눌러봅시다. CD-Rom 드라이브가 아니라는 에러 메세지가 뜹니다.아마 일련의 과정을 통해 CD-Rom 인지 아닌지 확인한 다음에 성공/실패로 분기할 것 입니다. 올리..