전체 글 (194) 썸네일형 리스트형 안티 포렌식 보호되어 있는 글입니다. [Reversing] codeengn Basic RCE L06 문제 파일을 다운 받고 zip 파일의 압축을 풀어주니 06.exe 라는 실행파일이 하나 있었다. 일단 힌트에서 패킹여부를 확인해주는 프로그램을 사용하라고 해서 exeinfo에 06.exe 파일을 넣어보았다. UPX packer 라는 문자열이 보이므로 upx.exe 를 설치했다. 그 후 cmd 창에서 upx.exe 의 경로로 들어가준 후에 upx -d 06.exe 로 언패킹 언패킹된 06.exe 파일을 눌러서 실행시켜 보았더니 창 하나가 나왔다. Check Serial 이라는 버튼이 있는 것으로 보아 시리얼 키를 입력하면 뭔가 될 것 같다. 시리얼 키를 모르기 때문에 아무것도 입력하지 않고 Check Serial 버튼을 눌러보았다. "Wrong serial!!!"이라는 문자열이 출력되는 것을 볼 수 있었다.. [Reversing]패킹(packing), 언패킹(unpacking) [1]패킹(packing) -> 실행 압축이라는 뜻을 가지고 있다. 우리가 일반적으로 알고 있는 압축은 압축을 해제 시켜야 프로그램을 실행 시킬 수 있지만 packing 은 일반 프로그램처럼 실행이 가능하다. -> 실행 파일을 대상으로 파일 내부에 압축해제 코드를 포함하고 있어서 실행되는 순간 압축을 해제 시킨 후 실행시키는 기술이다. 1.패킹을 하는 이유 -> 데이터 압축 또는 악성 코드에서 작은 용량으로 빠르게 많이 퍼지게 하여, 분석이 불가능하게 만들기 위해서 -> 프로그램 분석을 어렵게 만들기 위해서이다. -> 데이터 보호 *패커 : 패킹을 해주는 프로그램이다. ex)UPX, FSG [2]언패킹(unpacking) -> 패킹이 되어있는 파일의 패킹을 푸는 작업 -> 대부분 언패킹 툴로 쉽게 언패킹.. [Reversing]abex's crackme #2 보호되어 있는 글입니다. [Reversing] 써니나타스(SuNiNaTaS) 9번 문제 풀이 다른 리버싱 ctf 문제를 풀다가 Immunity Debugger 사용법 중 마우스 오른쪽 클릭 -> Search for -> All referenced text strings 라는 메뉴로 가면 문자열을 모아서 볼 수 있다는 것을 알게 되었다. 이 문제의 zip 파일 압축을 푼 후 들어있던 exe 파일을 Immunity Debugger 에 넣고 위의 기능을 사용해보았다. 이 기능을 통해 나온 다양한 문자열들 중 Congratulation! 이라는 문자열이 보이는데 문제가 해결되는 부분인 것 같다. 그 위의 SuNiNaTaS는 사이트 이름이니 넘어가고 위의 숫자가 수상하다. exe 파일을 실행시켰을 때 나오는 창에 "913465"를 넣고 Click!을 눌렀다. Congratulation! 이라는 문자열이 .. [Reversing] xcz.kr Prob9 처음 문제 파일을 실행했더니 ID 와 PW를 입력 받길래 아무거나 입력했더니 "who are you???" 라는 문장이 나왔다. 아이디와 비밀번호를 출제자가 설정한 문자열과 같게 넣어줘야 할 것을 예측할 수 있었다. (1) 처음에 hint를 안 보고 혼자 풀었던 방법 immunity Debugger 에 파일을 넣고 F8로 쭉 실행시켰을 때 "who are you???" 라는 문자열이 출력되는 부분으로 점프한다는 것을 알 수 있었다. "who are you???"문자열이 출력되는 주소로 점프하지 않게 하기 위해 점프하는 어셈블리어가 있는 부분 2곳을 JNZ에서 JE로 바꿔주었다. 그 후 F8을 눌러 쭉 실행시킨 결과 출제자가 의도한 ID와 PW를 입력하지 않아도 key 값을 얻을 수 있었다. (2) 출제자.. [Reversing] abex crackme #3 문제 파일을 실행시키면 마지막에는 아래의 창이 나온다. 지금은 파일을 찾을 수 없다고 하는데 keyfile을 찾았다는 메시지 창이 뜨게하면 성공하는 문제이다. 일단 Immunity Debugger 에 넣었더니 아래의 화면이 나왔다. 오른쪽의 주석 부분을 보면 어떤 메시지가 출력되는지 알 수 있다. 잘 살펴보면 Yep, Keyfile found! 라는 메시지가 보이는데 우리가 저 문장을 출력시키면 문제가 해결되는 것으로 예측할 수 있다. F8로 실행시키면서 어셈블리어 부분을 살펴보면 00401037 부분에서 점프를 통해 00401075로 가고 있는 것이 확인된다. 00401075 부분에는 문제 파일을 실행했을 때 마지막에 나오던 메시지인 Hmmmmm, I can't~~ 라는 문장이 있다. 그래서 00401.. abex' crack me #1 crackme 문제들의 출처를 열심히 찾아봤는데 http://crackmes.de/users/abex/ 여기라고 한다. 지금은 닫힌 것 같고 풀이를 올린 분들의 티스토리나 네이버 카페에 남은 파일들로 사람들이 꾸준히 푸는 것 같다. 2012년과 2015년 풀이가 있는 걸로 보아 오래 전부터 유명한 문제인 것 같다. 확인을 누르면 이런 창이 나온다. 이 창의 문장을 CD-ROM이 맞다는 문장으로 바꿔주면 성공인 문제이다. 먼저 exe 파일을 Immunity Debugger에 넣었더니 아래의 결과가 나왔다. 오른쪽 부분의 주석들로 보아 F7로 안으로 들어가서 확인해주지 않아도 될 것 같아서 F8로 쭉 실행시켰더니 0040103B 부분에서 00401050주소로 뛰어넘는 걸 확인할 수 있었다. 그런데 주석부분을.. 이전 1 ··· 21 22 23 24 25 다음