d0ky0_ch@071c

Unpack을 한 후 Serial을 찾으시오. 정답인증은 OEP + Serial Ex) 00400000PASSWORD CodeEngn Basic RCE L06 파일을 실행 시키면 입력 후 시리얼을 체크하는 것 같은 버튼이 나온다 아무 값이나 입력해보면 Wrong serial!!! 문구가 뜬다 UPX 패킹 확인 언패킹 언패킹 완료 문제에서 요구한 OEP(시작 지점) : 00401360 Serial을 찾기 위해 이전 실행 시 확인했던 Wrong serial 문자열을 찾아가봤다 점프 구문 위 test eax, eax 이 눈에 띈다 시리얼 값을 비교하는 부분으로 예상하고 위로 올려보면 입력한 문자열과 AD46DFS547와 비교한다 Serial 값을 AD46DFS547로 예상하고, 값을 넣어 비교해보면 맞다 정답..

이 프로그램의 등록키는 무엇인가 CodeEngn Basic RCE L05 프로그램을 실행시켜보면 틀린 시리얼 번호를 입력했다고 뜬다 upx패킹 확인 언패킹 언패킹 완료 GFX-754-IER-954 이라는 등록키 값으로 추정되는 값을 확인할 수 있다 확인! GFX-754-IER-954

이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고 있다. 디버거를 탐지하는 함수의 이름은 무엇인가 CodeEngn Basic RCE L04 프로그램을 실행시키면 정상이라는 문구가 뜬다 아까 확인한 문자열을 찾아보면 점프하는 부분 이전에 있는 IsDebuggerPresent 함수를 발견할 수 있다 디버거로 실행시켜 bp를 걸어주면 디버깅 당함 이라고 뜨는 것도 확인 가능 IsDebuggerPresent

비주얼베이직에서 스트링 비교함수 이름은? CodeEngn Basic RCE L03 코드를 입력할 수 있는 창이 뜬다 틀리면 에러창이 뜬다 에러 문자열을 찾아가보면 키값으로 예상되는 것과 비교함수를 찾을 수 있다 vbaStrCmp

패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 CodeEngn Basic RCE L02 HxD로 확인 JK3FJZh

HDD를 CD-Rom으로 인식시키기 위해서는 GetDriveTypeA의 리턴값이 무엇이 되어야 하는가 CodeEngn Basic RCE L01 (abex' 1st crackme) *GetDriveTypeA 타입에 따라 반환 값이 다르다 CD-ROM의 경우 5인 것을 그냥 확인 가능. . 하지만 다른 방법으로 확인해보기로 한다 처음 실행시키면 해당 창이 뜬다 CD-Rom으로 인식시키라고 한다 1. ZF값을 변조 시켜 점프 시킨다. 00401000 | 6A 00 | push 0 | 00401002 | 68 00204000 | push 01.402000 | 402000:"abex' 1st crackme" 00401007 | 68 12204000 | push 01.402012 | 402012:"Make me t..

Section header : 각 섹션의 속성(Property)을 정의한 것 code/data/rsrc 3가지로 나누어 섹션을 저장하는 이유? 프로그램 복잡함 감소 / 프로그램 안전성 → 각 분류마다 권한이 주어져 있다 code: 실행, 읽기 권한 data: 비실행, 읽기 권한 rsrc: 비실행, 읽기 권한 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocation..

NT header typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; Signature → 50450000 FileHeader typedef struct _IMAGE_FILE_HEADER { WORD Machine; WORD NumberOfSections; DWORD TimeDateStamp; DWORD PointerToSymbolTable; DWORD NumberOfSymbols; WORD SizeOfOptionalHeader; WORD Characte..

함수 호출 규악(Calling Convention) : 함수 호출 시 매개변수를 어떤 식으로 전달하는 지에 대한 약속 Caller(호출자) / Callee(피호출자) 크게 3가지로 분류 cdecl: c언어에서 사용되는 방식, Caller가 스택을 정리 stdcall: Win32 API에서 사용, Callee가 정리 fastcall: x64 아키텍쳐에서 사용, stdcall과 동일하나 매개변수 중 최대 2개까지 레지스터를 이용하여 스택으로 보낸다 → 호출이 빠르다는 장점 PE File Format PE(Portable Executable) File: Windows 운영체제에서 사용되는 실행 파일 형식 실행 계열: EXE, SCR 드라이브 계열: SYS, VXD Library 계열: DLL, OCX, CPL..

활용 강의 유튜브 - Fin 스택(Stack) FILO 구조 ESP (Extended Stack Pointer): 현재 스택의 최상단을 가리키는 포인터 EBP (Extended Base Pointer): 현재 스택 프레임의 시작 주소를 가리킴(ESP값을 저장) 스택 프레임(Stack Frame) EBP를 통하여 스택 내 변수 파라미터 복귀 주소에 접근하는 기법 EX. PUSH EBP ; 함수 시작 -> 스택에 EBP 백업 MOV EBP, ESP ; ESP값을 EBP에 저장 . . . MOV ESP, EBP ; ESP값을 복원 POP EBP ; EBP 복원 RETN 함수 내에서 ESP값이 변해도 EBP를 기준으로 안전하게 해당 변수나 파라미터, 복귀주소에 접근이 가능하다. CodeEngn Basic RCE..