ﾚ(ﾟ∀ﾟ;)ﾍ=З=З=З

1) StolenByte를 구하는 문제 더보기 ※ StolenByte : 패커가 위치를 이동시킨 코드로써 보호된 프로그램 코드의 윗부분 - 이동된 코드들은 OEP 주소로 점프하기 전에 PUSH가 된다. UPX패킹이 되어있는 프로그램에서는 마지막 JMP를 하기 전 POPAD 이후의 PUSH를 해주는 코드이다. StolenByte를 복구하지 못하면 위와 같이 정상적으로 작동하지 못한다. 2) 09.exe 실행 화면 3) PEiD를 통해 UPX로 패킹되어 있는 것 확인 4) upx.exe로 언패킹 진행 5) 언패킹 후 실행 화면 - 글씨 깨짐 6) 올리디버거(언패킹 09.exe 실행) - OEP 주소 쪽이 NOP로 채워진 것을 확인 - StolenByte가 있어야 하는 부분으로 유추 7) UPX 패킹 되어 있..

1) OEP 구하는 문제 2) 08.exe 파일 실행 시 나오는 화면 3) PEiD를 통해 정보 확인 시 UPX 패킹이 되어 있는 것 확인 더보기 ※ UPX 패킹 파일 1. UPX 패킹 파일 구조 [SECTION UPX0] : 메모리가 로드 된 후 압축 코드가 해제 될 공간 [SECTION UPX1] : 압축코드가 저장되어 있는 공간 2. 올리디버거를 통해 OEP 확인 [PUSHAD] - 코드 - [POPAD] - [JMP] [PUSHAD] : Stack에 레지스터에 있는 EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI 총 8개 값을 넣어주는 명령어 [POPAD] : stack안에 있는 8개의 레지스터를 거꾸로 빼오는 명령어 4) PUSHAD와 POPAD 사이에 있는 코드 중 루프문..

1) Unpack 후 Serial 값 구하는 문제 2) 06.exe을 실행시켜서 임의의 값인 abc를 입력했더니 에러 창 3) PEiD로 정보 확인 시 UPX로 패킹 되어있는 것 확인 4) upx.exe로 언패킹 진행 5) 올리디버거로 실행 - 00401360에서 시작하는 것 확인 - OEP : 00401360 6) 문자열 확인 - 성공했을 때 나오는 듯한 Good Job! 문자열 확인 - 해당 위치로 이동 7) 이동 후 재실행된 06.exe에 abc 입력 8) 00401069에 ASCII abc 생성 - PUSH를 통해 해당 stack에 abc 저장 9) 0040106E에 있는 AD46FS547도 해당 stack에 저장 10) 00401290 CALL을 통해 호출 11) ESP+4(사용자 입력 값) 와..

1) 프로그램의 등록키 구하는 문제 2) 05.exe 실행 후 Register now! 클릭 시 Wront Serial... 문자열 출력 3) PEiD - UPX 패킹 확인 4) UPX 언패킹 진행 5) 올리디버거 - 문자열 확인 6) 성공을 나타내는 듯한 Congrats! ... 확인 - 해당 위치로 이동 7) 이동한 윗 부분 : 어떤 값을 EAX에 넣음 + Registered User 문자열 EAX에 넣음 8) CALL을 통해 00403BC2 호출 9) 00403B2C 호출 부분에 break - 실행 - aaaa와 1234 입력 10) 입력 시 EAX가 aaaa로 변경 11) 00403B2C 확인 시 00403B33에서 [CMP EAX, EDX] 해주는 것 확인 12) 직접 변경한 aaaa와 Regi..

1) 디버거 프로그램을 탐지하는 함수의 이름을 알아내는 문제 2) 실행 시 정상 문자열이 반복해서 출력 3) 올리디버거를 통해 실행 시 디버깅 당함 문자열 출력 4) 디버거를 감지하는 함수가 있다고 예상 5) 함수들 확인 - IsDebuggerPresent 함수 더보기 IsDebuggerPresent() 함수 : 해당 프로세스가 디버깅을 당하고 있는지의 여부를 PEB구조체의 디버깅 상태값을 확인한다고 한다. 만약 디버깅을 당하면 리턴 값이 1이고 아닐 경우에는 리턴 값이 0이 된다. 6) 우회 없이 실행 - PEB에서 BeingDebugged byte값을 리턴받는 EAX가 00000001로 변경되는 것을 확인 7) IsDebuggerPresent() 함수 우회 방법 - IsDebuggerPresent A..