목록2021/02 (76)
R136A1
보호되어 있는 글입니다.
보호되어 있는 글입니다.
컴퓨터 C 드라이브의 이름이 CodeEngn 일경우 시리얼이 생성될때 CodeEngn은 'ß어떤것'으로 변경되는가 프로그램은 굉장히 간단하다. 따로 Search 필요 없이 조금만 내리면 MessageBoxA가 보인다. CALL lstrcmpiA 함수의 반환값이 EAX에 저장되고 이 값이 0이면 성공 위 함수를 좀 자세히 봐야할듯 가장 위에 DialogBoxParamA: 사용자와 상호작용하는 Box 생성 GetDlgItemTextA: 사용자가 입력한 시리얼 받아옴 GetVolumeInformationA: volume 정보를 받아온다고 함. 문제에서 C드라이브의 이름을 언급했으니 중요 - RootPathName: NULL일경우 현재 디렉토리의 루트값이 사용됨 - VolumeNameBuffer: 버퍼포인터, ..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
처음에는 너무 포렌식적으로 접근해서 파일을 복구하는 문제인줄 알았다 디버거 툴로 안열리는 것으로 보아 손상된 것으로 판단하였기 때문 (+PE구조를 파악해주는 프로그램 stud_PE 같은것도 사용 불가. IDA로 열면 packed되었다고 함) 하지만 그렇게되면 포렌식이지 리버싱-정적분석은 아님 파일이 굉장히 간단한편이기때문에 문자열을 추출하거나...아니면 그냥 문자열 내려만봐도 보인다 조금만 분석해보면 1. PE헤더 2. 섹션헤더 3. 어떤 섹션 영역1 아마 어셈블리어로 작성된 코드... 해석 불가 4. 어떤 섹션 영역2 사용하는 함수를 담은 섹션 영역 섹션 종류는...이런 걸 담는 섹션이 뭐라하더라 1. DialogBoxParamA 2. EndDialog 3. GetDlgItemTextA 4. Messa..