ThunRTMain
바로 x32dbg로 열고 실행 한 번만 클릭하면 ThunRTMain이 보인다.
검색 ㄱㄱ
VB엔진의 메인함수(ThunRTMain)에 진입하는 명령어란다...
☞ visual basic이 사용되나보다 & JMP를 통해 호출되므로 간접 호출이구나
또한 이걸 보면 msvbvm60.dll의 함수를 호출하는 것을 알 수 있다.
아무리 f8을 눌러봐도 dll의 에필로그 외에는 다른 함수의 에필로그가 나오지 않았다.
그러다가 "모듈간 호출"에서 어떤 vba함수가 호출되었나 확인했다.
보니까, vbaStrCmp함수가 호출됐다.
아, 그럼 여기서 문자열 비교를 통해 값을 확인하겠구나.
677345와 비교하는군
"auth : 677345"
++++
처음에 패킹 검사하려고 peid에 05.exe를 올려봤다.
패킹이 안되어있다고 나와서 그냥 넘겼는데, 다른 풀이들을 보니까
여기서 바로 visual basic을 사용한 것을 파악할 수 있었다....
풀긴 풀었지만,
vba가 정확히 어떻게 사용되는지 잘 모르겠다....ㅜ
'워게임 > 리버싱' 카테고리의 다른 글
| CodeEngn - advance 8 (0) | 2021.08.26 |
|---|---|
| CodeEngn - advance 4(x32dbg에서 덤프뜨기) (0) | 2021.08.21 |
댓글