ﾚ(ﾟ∀ﾟ;)ﾍ=З=З=З

1) Name이 CodeEngn일 때 Serial 구하는 문제 2) 15.exe 실행 -- Name에 CodeEngn, Serial에 1234 입력 - Try Again 출력 3) 올리디버거 - 모든 문자열 확인 - You cracked the UBCCrackME#1... - 해당 위치로 이동 4) [CMP EAX, DWORD PTR DS:[45B844]] : EAX와 DATA영역의 45B844 주소부터 4byte만큼의 값을 CMP를 통해 비교 5) JNZ이 있는 00458837에 break를 걸고 실행 - CodeEngn과 1234를 입력 6) 값을 입력 시 EAX에 “1234”가 저장이 된 것을 확인 - 구하려는 Serial 값이 45B844부터 4Byte라는 것을 알 수 있음 7) Follow in..

1) OEP와 StolenByte를 구하는 문제 2) 11.exe 실행 화면 3) PEiD를 통해 확인 - UPX 패킹 4) upx.exe를 통해 UPX 언패킹 진행 5) (언패킹된 11.exe) 올리디버거 - NOP로 채워져 있음 6) StolenByte에 해당하는 POPAD, JMP 사이에 있는 PUSH 부분 코드 확인 7) (언패킹된 11.exe) StolenByte 복구 8) StolenByte 복구되면서 0040100C였던 OEP가 00401000으로 변경 9) new11.exe : 복구된 파일 덤프 10) new11.exe 정상적으로 실행 확인 11) 정답 코드 : OEP + StolenByte = 004010006A0068002040006812204000

1) OEP를 구하고 '등록성공'으로 가는 분기점의 OPCODE를 구하는 문제 더보기 ※ OPCODE : 연산코드, 프로세서가 수행할 연산과 실행할 동작을 정의하는 코드 - 올리디버거로 열었을 경우 Hex dump에 해당되는 코드들이 OPCODE 2) 실행 시 Name, Serial 값 입력 불가능 3) PEiD - ASPack 패킹 되어있는 것 확인 4) 올리디버거를 통해 직접 ASPack 언패킹 진행 5) Find command 를 통해 retn 0c 검색 6) RETN 0c 아래 있는 두 줄에 BP를 걸어주고 실행(F9) 7) 실행 시키면 PUSH 뒤에 OEP 주소로 변경, RETN을 통해 OEP로 이동 8) OEP 부분으로 이동 후 Ctrl + A - 원래 코드 확인 9) 언패킹 완료 10) 언패..

1) StolenByte를 구하는 문제 더보기 ※ StolenByte : 패커가 위치를 이동시킨 코드로써 보호된 프로그램 코드의 윗부분 - 이동된 코드들은 OEP 주소로 점프하기 전에 PUSH가 된다. UPX패킹이 되어있는 프로그램에서는 마지막 JMP를 하기 전 POPAD 이후의 PUSH를 해주는 코드이다. StolenByte를 복구하지 못하면 위와 같이 정상적으로 작동하지 못한다. 2) 09.exe 실행 화면 3) PEiD를 통해 UPX로 패킹되어 있는 것 확인 4) upx.exe로 언패킹 진행 5) 언패킹 후 실행 화면 - 글씨 깨짐 6) 올리디버거(언패킹 09.exe 실행) - OEP 주소 쪽이 NOP로 채워진 것을 확인 - StolenByte가 있어야 하는 부분으로 유추 7) UPX 패킹 되어 있..

1) OEP 구하는 문제 2) 08.exe 파일 실행 시 나오는 화면 3) PEiD를 통해 정보 확인 시 UPX 패킹이 되어 있는 것 확인 더보기 ※ UPX 패킹 파일 1. UPX 패킹 파일 구조 [SECTION UPX0] : 메모리가 로드 된 후 압축 코드가 해제 될 공간 [SECTION UPX1] : 압축코드가 저장되어 있는 공간 2. 올리디버거를 통해 OEP 확인 [PUSHAD] - 코드 - [POPAD] - [JMP] [PUSHAD] : Stack에 레지스터에 있는 EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI 총 8개 값을 넣어주는 명령어 [POPAD] : stack안에 있는 8개의 레지스터를 거꾸로 빼오는 명령어 4) PUSHAD와 POPAD 사이에 있는 코드 중 루프문..