-榮-

● CodeEngn Advance RCE L04 문제 ◎ 파일 실행 화면 ◎ 패킹 및 난독화 여부 확인 ● CodeEngn Advance RCE L04 풀이 [그림 1]에서 본 실패 문자열("Error!")을 찾기 위해 [Search for > All referenced text strings]를 확인했습니다. All referenced text strings에는 문자열이 보이지 않았고, [Search for > All intermodular calls]도 같았습니다. 패커가 없으며, 문자열도 모듈도 안 보이는 것을 보면 암호화되어있다고 추측할 수 있습니다. Step Over[F8]로 진행하다 보면 반복문이 나옵니다. 이 반복문은 [00401006]부터 [004011A7]까지 25h를 XOR 하는 코드입..

[※참고] 이 글은 CodeEngn Advance RCE L03의 Serial 생성 부분을 분석한 글로 CodeEngn Advance RCE L03 풀이의 일부분입니다. CodeEngn Advance RCE L03은 CodeEngn Advance RCE L03 을 참고해 주세요. ● CodeEngn Advance RCE L03 풀이 中 Serial 생성 Serial 생성 함수(00401277)는 함수 3개를 반복하면서 입력받은 Name을 사용하여 Serial을 생성합니다. ① [403258]에 입력받은 Name("CodeEngn")을 옮기고, stack에 0을 넣고 00401142 CALL 00401277 함수 내부로 들어갑니다. [그림 3]은 CALL 00401277 내부입니다. 처음 00401277로..

● CodeEngn Advance RCE L03 문제 ◎ 파일 실행 화면 ◎ 패킹 및 난독화 여부 확인 ● CodeEngn Advance RCE L03 풀이 [Search for > All referenced text strings]에서 [그림 1]의 실패 문자열을 찾으면 실패 문자열 2개와 성공 문자열을 확인할 수 있습니다. 성공 문자열로 이동하면 성공 문자열을 출력하는 MessageBoxW 함수가 따로 떨어져 나와있어 성공과 실패의 분기점과 분기 조건을 확인할 수 없습니다. 따라서 실패 문자열로 이동하는데 두 개의 실패 문자열 중 가장 낮은 주소의 문자열 주소로 이동합니다. 실패 문자열 주소로 이동하면 MessageBoxA 함수 아래로(주소 기준) GetDlgItemTextA 함수가 보입니다. 위에서..

● CodeEngn Advance RCE L01 문제 ◎ 파일 실행 화면 ◎ 패킹 및 난독화 여부 확인 [※참고] Advance RCE L01 실행파일은 Basic RCE L19와 매우 유사한 파일입니다. 파일의 자세한 흐름은 CodeEngn Basic RCE L19를 참고해 주세요. ● CodeEngn Advance RCE L01 풀이 언패킹 한 파일을 디버거에 올리고 실행[F9]하면 [그림 5]가 뜹니다. MessageBox는 AutoIt로 컴파일되었다는 것을 알려줍니다. AutoIt 전용 디컴파일러인 Exe2Aut을 사용하여 문제를 풀 수 있지만, 파일을 분석해서 문제를 풀어보도록 하겠습니다. [Seach for > All intermodular calls]에서 디버거 탐지 함수인 IsDebugge..