UPX 방식으로 패킹되어있는 것을 확인할 수 있다.
UPX 방식이란? : https://ko.wikipedia.org/wiki/UPX
해당 실행파일을 upx가 있는 곳으로 옮겨준 다음 CMD창에서 upx -d (파일명).exe를 입력하여 언패킹 해준다.
좀 수상해보이는 코드 발견..
근데 CALL 마다 들어가보니까 찾으려면 한참 걸릴것 같아서
먼저 프로그램을 실행시켜보기로 했다
Hex Editor로 해당 문자열이 위치한 부분을 찾을 수 있었다. 조금 더 내려보니 아예 키 값이 나와있긴 하다..
디버거에서는 우클릭 - Search for - All referenced text strings로 주석들을 보니,
바로 관련된 내용들을 확인할 수 있었다
CPU 창에서 Ctrl + G로 00440F0D로 이동해보니 관련 주석들을 찾을 수 있었다.
출력된 주석으로 비밀번호는 GFX-754-IER-954임을 확인할 수 있었다.
다음 문제부터는 Search for - All referenced text strings로 빨리빨리 확인하는게 좋을것 같다..◠ ◠
디버거를 좀 더 살펴보자면 선택한 부분(00440F39)에서 00440F8C로 JNZ하는데
JNE는 제로플래그가 0일 경우(= CMP a!=b) 해당 주소로 점프하는 명령어이다.
이동한 주소에서는 오류 메시지가 출력되도록 하고 있다.
00440F56에서도 JNE를 이용하여 00440F72(=오류메시지 출력)로 보내버리기 때문에
해당 조건에 걸리지 않도록 코드를 짜면 점프하지 않고 무사히 성공 메시지를 띄울 수 있을것 같다.
'INTERLUDE ✦ > 2023 Reversing STUDY' 카테고리의 다른 글
| Basic RCE L07 (0) | 2023.03.30 |
|---|---|
| Basic RCE L06 (0) | 2023.03.30 |
| Basic RCE L04 (0) | 2023.03.28 |
| Basic RCE L02 (0) | 2023.03.23 |
| Basic RCE L03 (0) | 2023.03.23 |