[LENA 2] CreateFile

2017. 10. 23. 06:260x02 Reverse Engineer/0x03. Etc

728x90

이번 문제는 ocx를 우선 레지스트리에 등록해야한다.

ocx관련은 예전에 Active X Attach할 때 풀어봤기에 

레지스트리 등록부터 하러 가보자.


이번 바이너리는 32bit Unknown Packer-Protector , 4 sections - CRC is Set

um...프로텍터가 있다는 건지 없다는 건지 잘 모르겠다만 일단 ocx 등록부터 하러가자.


ocx등록을 하기위해서는 레지스트리 regsvr32에 등록을 해야한다.

음 64비트 win10을 사용하고 있는데 여기에 되는지 테스트만 해보고

안되면 vm에서 해당 바이너리는 풀어야 겠다고 생각했다.


여윽시 안된다..^^ 음 잠시만 경로상의 문제일수도 있다.

절대경로에 들어가서 ocx를 감지해야한다고 생각된다.


comdlg32.ocx에서 DllRegisterServer가 성공했다고 뜬다.

명령어 : regsvr32 해당ocx ^,^


신나게 분석을 하러 가보자

컴포넌트중에 MSCOMCTL.OCX도 등록이 되어야 한다.


내 컴퓨터에 없기 때문에 다운로드 하였다.


제대로 등록을 했는데 좀 당황스러운 바이너리가 떨어진다....


그냥 16진수 10진수 컨버터인 것 같은데 여기에 취약점이 있는가...

OLLYDBG로 보자.


004010BD    E8 EEFFFFFF     call Crackers.004010B0                   ; jmp to msvbvm60.ThunRTMain

비주얼 베이직이군..

protector가 걸려져 있다.


이거 분석하는게 맞는가.... reverseMe를 분석해야한다고 생각했다.


아까처럼 라이센스가 만료되었다고 뜬다. 


앗...시간낭비를해버렸다 ^^

0040105C   .  6A 00         push 0x0                                 ; |/hTemplateFile = NULL

0040105E   .  68 6F214000   push reverseM.0040216F                   ; ||Attributes = READONLY|HIDDEN|SYSTEM|ARCHIVE|TEMPORARY|402048

00401063   .  6A 03         push 0x3                                 ; ||Mode = OPEN_EXISTING

00401065   .  6A 00         push 0x0                                 ; ||pSecurity = NULL

00401067   .  6A 03         push 0x3                                 ; ||ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE

00401069   .  68 000000C0   push 0xC0000000                          ; ||Access = GENERIC_READ|GENERIC_WRITE

0040106E   .  68 79204000   push reverseM.00402079                   ; ||FileName = "Keyfile.dat"

00401073   .  E8 0B020000   call <jmp.&KERNEL32.CreateFileA>         ; |\CreateFileA


CreateFileA를 이용하여 Keyfile.dat를 생성한다.

마찬가지로 70bytes !


루틴을 보니 똑같이 G*8개가 만족하면 된다.... 뭐지??





'0x02 Reverse Engineer > 0x03. Etc' 카테고리의 다른 글

[레몬 세미나] 랜섬웨어  (0) 2017.10.23
[LENA 3] Let's patch nag !  (0) 2017.10.23
[RENA] 1번 Do you know CreateFile?  (0) 2017.10.23
[파일 자동 삭제]  (0) 2017.09.19
[H4C CTF] Let's Bingo !  (0) 2017.09.09