목록REVERSING/codeEngn (11)
R136A1
보호되어 있는 글입니다.
컴퓨터 C 드라이브의 이름이 CodeEngn 일경우 시리얼이 생성될때 CodeEngn은 'ß어떤것'으로 변경되는가 프로그램은 굉장히 간단하다. 따로 Search 필요 없이 조금만 내리면 MessageBoxA가 보인다. CALL lstrcmpiA 함수의 반환값이 EAX에 저장되고 이 값이 0이면 성공 위 함수를 좀 자세히 봐야할듯 가장 위에 DialogBoxParamA: 사용자와 상호작용하는 Box 생성 GetDlgItemTextA: 사용자가 입력한 시리얼 받아옴 GetVolumeInformationA: volume 정보를 받아온다고 함. 문제에서 C드라이브의 이름을 언급했으니 중요 - RootPathName: NULL일경우 현재 디렉토리의 루트값이 사용됨 - VolumeNameBuffer: 버퍼포인터, ..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
처음에는 너무 포렌식적으로 접근해서 파일을 복구하는 문제인줄 알았다 디버거 툴로 안열리는 것으로 보아 손상된 것으로 판단하였기 때문 (+PE구조를 파악해주는 프로그램 stud_PE 같은것도 사용 불가. IDA로 열면 packed되었다고 함) 하지만 그렇게되면 포렌식이지 리버싱-정적분석은 아님 파일이 굉장히 간단한편이기때문에 문자열을 추출하거나...아니면 그냥 문자열 내려만봐도 보인다 조금만 분석해보면 1. PE헤더 2. 섹션헤더 3. 어떤 섹션 영역1 아마 어셈블리어로 작성된 코드... 해석 불가 4. 어떤 섹션 영역2 사용하는 함수를 담은 섹션 영역 섹션 종류는...이런 걸 담는 섹션이 뭐라하더라 1. DialogBoxParamA 2. EndDialog 3. GetDlgItemTextA 4. Messa..
Unpack 후 Serial 찾기 OEP+Serial이 정답 파일 일단 패킹되어있는 파일인지 체크하기 PEid 또는 ExeinfoPE 또는 DIE(Detect It Easy) UPX로 패킹되어있음 1. 수동 언패킹 (manual unpacking) UPX 패킹 PUSHAD 정상적인 실행값을 가진 레지스터를 스택에 백업해놓고 이 레지스터를 이용해 패킹작업을 한 뒤 POPAD하여 정상적인 실행값을 가져와 OEP를 실행시키기 위함 teamsign.tistory.com/12 PEviewer [정상적인 PE파일] 전체적인 PE구조 및 IAT가 쉽게 확인되어 어떤 API 사용하는지 한눈에 보임 [UPX로 패킹 진행] SECTION .text → SECTION UPX0 형식으로 모두 패킹됨 IAT를 살펴봐도 사용되는..
보호되어 있는 글입니다.