Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
Tags
- JIT
- Dynamic안티디버깅
- CodeEngn
- IL코드
- ImageSwitching
- CP949
- 서비스프로세스
- PEImageSwitching
- Exe2Aut
- Static안티디버깅
- 안티디버깅
- dotPeek
- 디버깅
- Visual Studio
- PEImage
- x32dbg
- Python
- UTF-16
- 서비스디버깅
- 리버싱
- OllyDbg
- hxd
- Advanced안티디버깅
- Self-Creation
- .net
- 리버싱핵심원리
- DebugBlocker
- RedLine Stealer
- UTF-32
- 분석 보고서
Archives
- Today
- Total
-榮-
[CodeEngn] Basic RCE L08 본문
● CodeEngn Basic RCE L08 문제
◎ 파일 실행 화면
◎ 패킹 및 난독화 여부 확인
답은 UPX의 OEP를 구하면 됩니다.
※[참고]
UPX 패킹에서 OEP를 찾는 법은 CodeEngn Basic RCE L05의 "+α UPX 패킹 상태에서 OEP 찾는 법" 참고
● CodeEngn Basic RCE L08 풀이
PUSHAD 명령어를 실행하면 스택에 레지스터 값들이 저장됩니다. 이때, dump 창에서 가장 최근에 저장된 스택 주소로 이동하여 Hardware BP를 겁니다.
Hardware BP를 걸고 실행(F9)하면 POPAD가 호출되는 순간, Hardware BP를 설치한 지점이 access 되면서 멈춥니다.
바로 밑에 OEP로 가는 JMP 명령어가 있습니다.
CodeEngn Basic RCE L08의 답 : 01012475
● CodeEngn Basic RCE L08 확인
◎ OEP 확인을 위한 Unpacked
Unpack 한 파일을 OllyDbg에 올리면 OPE를 확인할 수 있습니다.
'CodeEngn > Basic' 카테고리의 다른 글
[CodeEngn] Basic RCE L10 (0) | 2021.03.24 |
---|---|
[CodeEngn] Basic RCE L09 (+α StolenByte 옮기고 덤프 파일 만들기) (0) | 2021.03.23 |
[CodeEngn] Basic RCE L07 (0) | 2021.03.23 |
[CodeEngn] Basic RCE L06 (0) | 2021.03.21 |
[CodeEngn] Basic RCE L05 (+α UPX 패킹 상태에서 OEP 찾는 법) (0) | 2021.03.21 |