반응형
# 문제 설명
- 이 프로그램의 등록키는 무엇인가?
# 문제 풀이
- Stud_PE나 Hxd로 열어보거나 하면 UPX로 패킹이 되어 있음을 확인 할 수 있고 디버거로 열어보아도 일반적인 EP와는 다른걸 알 수 있습니다. 그래서 언팩을 하는 upx를 다운로드 받은 후에 upx.exe -d -o 05-unpack.exe 05.exe 명령을 통해서 언팩을 한 후 분석을 진행합니다.
- 아래는 HxD으로 열어본 이미지 입니다.
- 언팩을 하고 난 후 정상적인 EP구조가 보입니다. 제가 접근한 풀이 방법은 실행하면 시리얼 키가 틀렸다고 할때 MessageBox가 띄어지는 것을 보고 MessageBox 모듈에 브레이크를 걸고 그 주변에서 시리얼키를 찾아 봤습니다.
- 브레이크 포인트 "MessageBox" ..
- MessageBox 함수가 끝난 후 리턴되어 이전 명령어 위치로 돌아 왔을 때 시리얼키가 브레이크 포인트 위에 보입니다.
# 문제 해결
반응형
'Reversing' 카테고리의 다른 글
RCE/CodeEngn/BasicRCE07 (0) | 2018.02.05 |
---|---|
RCE/CodeEngn/BasicRCE06 (0) | 2018.02.05 |
RCE/CodeEngn/BasicRCE04 (0) | 2018.02.05 |
RCE/CodeEngn/BasicRCE03 (0) | 2018.02.05 |
RCE/CodeEngn/BasicRCE02 (0) | 2018.02.05 |