전체 글(440)
-
[CodeEngn Basic 8] Do you know OEP feat. UPX
문제 : Find the OEP 바이너리 실행: [그림 1] 오잉 왠 계산기가 ..!! 구조를 알아보고 싶다.. 얘도 UPX.. UPX가 많이 쓰이나보다. [그림 2] UPX OEP : 01012475 초 간단한 풀이가 완성되었다...
2017.08.20 -
[CodeEngn Basic 7] WHAT ABOUT THE CHANGE BY 'CodeEngn'
문제 : Assuming the drive name of C is CodeEngn, what does CodeEngn transform into in the process of the serial construction 바이너리 실행: [그림 1] 이놈도 시리얼 입력 문제 틀린 값을 넣었을 때 [그림 2] 틀린 값 넣었을 때 프로그램을 뜯어봅시다. 0040107D |. 6A 00 push 0x0 ; /pFileSystemNameSize = NULL0040107F |. 6A 00 push 0x0 ; |pFileSystemNameBuffer = NULL00401081 |. 68 C8204000 push 07.004020C8 ; |pFileSystemFlags = 07.004020C800401086 |. 68..
2017.08.20 -
[CodeEngn Basic 6] You Find OEP
문제 : Unpack, and find the serial, The solution should be in this format : OEP+SERIAL 바이너리 실행 : [그림 1] 시리얼을 찾아야 한다. 5번 문제와 동일하게 upx로 패킹 된 것을 볼 수 있다. [그림 2] upx 패킹 뜯어보자 프로그램 !! OEP는 00401360이다. 프로그램을 살펴보자. 0040146E E8 9CFBFFFF call 06.0040100F (bp) 바이너리가 GUI환경으로 이루어져 있기 때문에 다이어그램 텍스트를 찾아야 한다. user32.GetDigitemTextA에 BP를 걸었다. 0040105C FF15 B0524200 call near dword ptr [0x4252B0] ; user32.GetDlgItem..
2017.08.20 -
[CodeEngn Basic 4] Do you know antiDebug?
문제: This program can detect debuggers. Find out the name of the debugger detecting function the program uses. 바이너리 실행: [그림 1] 바이너리를 실행하게 되면 이러한 문구가 뜬다. 궁금하다. 바로 뜯어보자. 00408454 E8 B68BFFFF call 04.0040100F메인함수 접근하는 주소 0040104F FF15 68B14300 call near dword ptr [] ; kernel32.Sleep00401055 3BF4 cmp esi,esp00401057 E8 B4710000 call 04.004082100040105C 8BF4 mov esi,esp0040105E FF15 64B14300 call near..
2017.08.20 -
[CodeEngn Basic 3] Do you know VB in Function?
문제 : What is the name of the Visual Basic Function that Compares two strings? 바이너리 실행: 저런,,,,저런,,,, 해당 vm 환경에 dll이 없어서 dll부터 설치를 해야한다.비주얼 베이직은 MSVBVMxx.dll 이 필요하다. 잠시 dll에 대해 설명하면, 동적라이브러리링크라고 부르는 아이인데, 이 놈은 컴퓨터 안에 쏙 들어있다가 특정한 프로그램에 필요한 기능을 순간 순간 제공해주는 기능을 지니고 있다. 즉, 지금 vb 프로그램을 실행했는데 vb에 필요한 기능을 제공하는 dll이 없어서 에러가 빰 하고 뜨는 원리인 셈이다.dll을 만들어 두면, 프로그램의 크기는 현저히 줄어들고 더불어서 속도도 빨라진다 !! 꿀팁 ! x86_64 운영체제를..
2017.08.20 -
[CodeEngn Basic 2] Do you know recovery to EXE?
문제: The program that verifies the password got missed up and ceases to execute. Find out what the password is. 바이너리 실행: [그림 1] 으잉..? 뭐야 뭐야~ [그림 2] PE가 아닌데 시그니처는 MZ다 ? ? 의심이 된다. 이럴 땐 매직넘버를 확인할 수 있는 Hexadecimal을 볼 수 있는 아무 프로그램이나 실행시켜본다. 나는 HxD가 있어서 이것을 이용해보겠다. [그림 3] 4D 5A는 파일시그니처 MZ이다. ☆ 잠시 알고 갑시다 ☆ PE파일은 무엇일까요?윈도우 실행 파일에 붙어 있는 정보를 PE 파일이라고 부르면서 이 놈은 커다란 구조체로 구성되어 있으며 내부에 수 많은 테이블과 멤버가 존재한다. 종류 로..
2017.08.20