👾

보호되어 있는 글입니다.

본론에 들어가기 앞서, PE가 무엇인지 간단히 설명하도록 하겠다. 1.PE란? PE(Portable Executable): 윈도우 상에서 실행할 수 있는 파일이다. 실행 계열 EXE, SCR 드라이버 계열 SYS, VXD 라이브러리 계열 DLL, OCX, CPL, DRV 오브젝트 파일 OBJ 2.PE의 종류에는 무엇이 있는가? 1)실행계열 SCR: 스크린 세이버의 약자로, 화면 보호기 파일을 의미한다. 2)드라이버 계열 SYS: 시스템의 약자이며 운영체제 관련 파일이다. VXD: Virtual Device Driver , 하드웨어와 소프트웨어의 동작을 관리하는 가상 디바이스 드라이버 파일이다. 3)라이브러리 계열 DLL: Dynamic Link Library의 약자. 동적 링크 라이브러리 파일로, 다른 ..

코드엔진 사이트 목표값 : 'Cracked by: CodeEngn!'이 출력되게 하는 파일 내부 데이터 실행을 시켜도 크게 눈에 띄는 것은 없습니다. 이제 여기에 Cracked by: CodeEngn! 문자열을 띄워야 합니다. 먼저 위 프로그램을 디버거로 열어주겠습니다. 두근두근 패킹은 되어있지 않습니다. 본격적으로 구조를 살펴볼까요? 먼저, CreatFileA 함수를 호출합니다. CRACKME3.KEY 라는 파일을 열어줍니다. 아래는 CreateFileA 함수의 구조예요. HANDLE CreateFileA( LPCSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD..

코드엔진 사이트 목표값 : 프로그램이 종료되기까지 걸리는 시간 (밀리세컨드) 실행을 시켜보면 몇 초 뒤 종료됩니다. 이 시간을 직접 측정하기는 어려우니 분석을 해 보도록 합시다. PEiD로 열어보면 프로그램이 UPX로 패킹되어있음을 확인할 수 있습니다. 디버거로 열어볼게요. pushad 명령이 보입니다. 우리에게 익숙한 upx 패킹이니 간단히 언패킹 해 줍니다. 더보기언패킹 방법 [Ctrl + F]로 popad 명령을 찾은 뒤 그 주소로 이동한다.popad 명령 밑 OEP로 jmp하는 명령을 찾은 뒤, 해당 명령에 BP를 걸고 F9으로 실행해준다.F8 키를 한번 눌러 압축해제된 원본 코드로 이동한다.아래는 원본 코드입니다. 여기서 그냥 실행해볼까요? 안티 디버깅 기법이 적용되었네요. 디버거에 올려 실행했..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

코드엔진 사이트 목표값 : Name이 CodeEngn일 때 Serial값 실행을 시켜봅니다. 입력한 이름이 일련의 알고리즘을 거쳐서 시리얼이 생성되고, 이와 사용자의 입력을 비교하는 익숙한 유형의 프로그램 입니다. 디버거로 열어볼까요? 별다른 패킹은 되어있지 않습니다. 우리가 올바른 시리얼 값을 찾기 위해서는 분기점을 먼저 찾아야겠죠? 상단바의 Az 아이콘으로 실패시 출력되는 Bad 메세지박스의 주소로 이동합니다. 바로 아래에 성공 시 출력될 문자열이 있습니다. 그렇다면 실패 문자열이 출력되는 주소의 위에 분기점이 있고, 그 조건분기문을 실행하면 성공할 겁니다. 바로 위의 004011F6 주소가 분기점입니다. or eax, eax 식의 값이 0이라면 (ZF = 0이 1이 된다면) 성공 메세지박스를 띄우는..

보호되어 있는 글입니다.

문제 파일 >> 코드엔진 사이트 목표값 : Key 값이 BEDA-2F56-BC4F4368-8A71-870B 일때 Name의 MD5 해쉬값 실행을 시켜봅니다. Name 값은 한자리라고 했습니다. 디버거로 이 부분을 수정해줍시다. 우클릭 -> All referenced text strings -> 'Please Enter More Chars...' 문자열을 찾아가 줍니다. 위에 cmp eax, 3 라는 문자열 길이 비교 명령이 있습니다. 이를 cmp eax, 1 로 바꿔주고, 우클릭 -> Copy to Executable -> Save file 으로 저장한 뒤 수정된 파일을 열어줍니다. 성공시 출력될듯한 문자열이 있습니다. 이동해서 확인을 해 본 결과 JNZ 명령이 분기점입니다. 바로 위에서 호출된 함수를 ..

문제는 코드엔진 사이트에서 다운받을 수 있습니다. 목표값 : Name 이 CodeEngn 일 때의 Serial 값 실행을 시켜봅니다. 이름값과 시리얼 값을 따로 받는 것으로 보아 이 시리얼 값은 이름을 이용해 생성되었을 겁니다. 디버거로 열어서 우리가 찾은 Wrong password! 라는 문자열을 찾아 이동해줍니다. 바로 위에 Good Job! 이라는 성공 시 출력될듯한 문자열이 보입니다. 그럼 저 위에 분기점이 있을 겁니다. jne 명령이 있네요. 이 명령이 실행되면 성공 메세지를 건너뛰어 실패 메세지를 출력합니다. 조건 분기문이니 위의 조건을 유심히 봅시다. eax 와 ebp-0x3c 에 들어있는 값을 비교합니다. 아래 분기문은 jne 이니 이것이 실행되지 않고 성공하기 위해서는 두 값이 같아야 합..