[LENA 2] CreateFile

이번 문제는 ocx를 우선 레지스트리에 등록해야한다.

ocx관련은 예전에 Active X Attach할 때 풀어봤기에 

레지스트리 등록부터 하러 가보자.

이번 바이너리는 32bit Unknown Packer-Protector , 4 sections - CRC is Set

um...프로텍터가 있다는 건지 없다는 건지 잘 모르겠다만 일단 ocx 등록부터 하러가자.

ocx등록을 하기위해서는 레지스트리 regsvr32에 등록을 해야한다.

음 64비트 win10을 사용하고 있는데 여기에 되는지 테스트만 해보고

안되면 vm에서 해당 바이너리는 풀어야 겠다고 생각했다.

여윽시 안된다..^^ 음 잠시만 경로상의 문제일수도 있다.

절대경로에 들어가서 ocx를 감지해야한다고 생각된다.

comdlg32.ocx에서 DllRegisterServer가 성공했다고 뜬다.

명령어 : regsvr32 해당ocx ^,^

신나게 분석을 하러 가보자

컴포넌트중에 MSCOMCTL.OCX도 등록이 되어야 한다.

내 컴퓨터에 없기 때문에 다운로드 하였다.

제대로 등록을 했는데 좀 당황스러운 바이너리가 떨어진다....

그냥 16진수 10진수 컨버터인 것 같은데 여기에 취약점이 있는가...

OLLYDBG로 보자.

004010BD    E8 EEFFFFFF     call Crackers.004010B0                   ; jmp to msvbvm60.ThunRTMain

비주얼 베이직이군..

protector가 걸려져 있다.

이거 분석하는게 맞는가.... reverseMe를 분석해야한다고 생각했다.

아까처럼 라이센스가 만료되었다고 뜬다. 

앗...시간낭비를해버렸다 ^^

0040105C   .  6A 00         push 0x0                                 ; |/hTemplateFile = NULL

0040105E   .  68 6F214000   push reverseM.0040216F                   ; ||Attributes = READONLY|HIDDEN|SYSTEM|ARCHIVE|TEMPORARY|402048

00401063   .  6A 03         push 0x3                                 ; ||Mode = OPEN_EXISTING

00401065   .  6A 00         push 0x0                                 ; ||pSecurity = NULL

00401067   .  6A 03         push 0x3                                 ; ||ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE

00401069   .  68 000000C0   push 0xC0000000                          ; ||Access = GENERIC_READ|GENERIC_WRITE

0040106E   .  68 79204000   push reverseM.00402079                   ; ||FileName = "Keyfile.dat"

00401073   .  E8 0B020000   call <jmp.&KERNEL32.CreateFileA>         ; |\CreateFileA

CreateFileA를 이용하여 Keyfile.dat를 생성한다.

마찬가지로 70bytes !

루틴을 보니 똑같이 G*8개가 만족하면 된다.... 뭐지??