다운받은 04.exe를 그대로 x32dbg로 열어 분석하면
- invalid serial이라던지.. 문자열이 제대로 나오지 않는 것을 볼 수 있다.
peid로 패킹 확인해보면
- Nothing found만 뜰 뿐이다.
이 두 개를 통해서 알 수 있는 것은
upx같이 알려진 방법이 아닌 방법으로 패킹이 되어있구나!
☞ 그렇다면 oep를 찾아서 덤프를 떠야겠다.
x32dbg에서 덤프를 뜨는 방법은
에필로그를 찾을 수 있고, 좀 밑을 보면
invalid serial 문자열 발견
덤프뜨는 방법은
[ 참고 : https://sanseolab.tistory.com/73 ]
함수의 에필로그로 eip를 당겨놓고,
Scylla 플러그인 클릭
IAT Autosearch 클릭
Dump 클릭
하면 저절로 04_dump.exe가 만들어진다.
이제 이 실행파일을 다시 x32dbg로 열어서 분석하면 된다.
여기 strcmp 함수가 있으니까 f8로 하나하나 들어가면서 파악해보면,
어떤 값과 비교하는 지 파악할 수 있다.
# 새롭게 알게된 것
"문자열 찾기"를 눌렀을 때
패킹된 부분에 eip가 있다면 exe파일의 문자열이 안나온다.
하지만, eip가 함수의 에필로그에 진입했을 때
"문자열 찾기"를 누르면
내가 원했던 exe파일의 문자열이 나온다.
https://hackingboy.tistory.com/95
codeengn - Advance RCE level 4
안녕하세요. 오늘은 Advance RCE level 4를 풀어보겠습니다. 홈페이지로 들어가 파일을 받아주세요 실행시켜봅시다. 잘못된 값을 치면 Invalid Serial이라 나오는 군요. 올리디버그로 열어서 문자열을 검
hackingboy.tistory.com
'워게임 > 리버싱' 카테고리의 다른 글
| CodeEngn - advance 8 (0) | 2021.08.26 |
|---|---|
| CodeEngn advance 5(vba) (0) | 2021.08.21 |
댓글