Q. OEP를 구한 후 '등록성공' 으로 가는 분기점의 OPCODE를 구하시오. 정답인증은 OEP + OPCODE (EX) 00400000EB03) 1. 실행 2. x32dbg 실행 - "pushad". 전문가 등장 - 그러나 PEiD로 확인 결과, EP Section이 다르다. aspack이 되어 있다는 뜻. 언패킹 방법은 수동 언패킹이다. 위에서부터 popad를 찾기 위해 두 가지 방법이 있다. 1) command로 찾기 f9를 누르면 이동 완료. 2) Hardware breakpoint로 찾기 중간에 보이는 nop에 hardware breakpoint를 걸고 f9를 누르면 단번에 찾아진다. popad와 가까운 곳에 위치한 push 10. 445834 이것이 바로 OEP라고 한다. popad 바로 아..

Q. StolenByte를 구하시오 Ex) 75156A0068352040 1. 실행 2. x32dbg 실행 - ... 이젠 식상하다. "pushad"? "그것" ㄱ ? 언패킹 후 실행 화면 글자가 깨지는데 일단 무시하고 진행한다. 오.. 색다른 패턴이다. EntryPoint가 nop이다. 여기서 다시 보는 문제. "StolenByte"라고 했는데, 여기서 Stolen은 Steal의 과거분사로써 "훔친"이란 뜻을 가지기 때문에 처음 Entry point에서 봤던 nop의 정체는 byte가 도난당해 nop이 된 byte 망령들이었다. -> StolenByte: 프로그램의 일정 부분 코드를 훔쳐서 다른 부분으로 옮긴 코드 f8로 다시 삽질을 해보았지만, 현재 코드에서는 답을 못찾아서 패킹된 이전 exe파일에 ..

Q. OEP를 구하시오 Ex) 00400000 1. 실행 2. x32dbg 실행 - 어? "pushad"? 언패킹 전문가인 나에겐 안통한다. 바로 언패킹 ㄱ 참고로 이 파워쉘은 열고 싶은 폴더에서 shift+오른쪽 마우스 클릭하면 리스트에 나온다. OEP를 구하라? 너무 쉽다. 정답은 01012475.

Q. 컴퓨터 C 드라이브의 이름이 CodeEngn 일경우 시리얼이 생성될때 CodeEngn은 'ß어떤것'으로 변경되는가? 1. x32dbg 실행 ..하지만 이게 아니다. 드라이브명을 확인해야 하기 때문. 아까 시리얼 번호 같았던 번호 위에 "GetVolumeInformationA"라는 함수가 있다. 추적해 보자. 모르겠다. 일단 내 컴퓨터의 C드라이브 이름부터 바꿔보자 2. 드라이브 이름 변경 후 x32dbg 실행 - 아래의 사진은 끊임없는 f9와 f8, ctrl+f2를 시도한 후의 사진이다. .. 저 "쬡밤실"은 원래 "자료실"로, C드라이브 이름이 바뀌지 않음을 뜻한다. 어째서지? 다른 블로그에 가보면 CodeEngn이라고 잘 떠서 저기 eax에 변형된 CodeEngn의 스트링이 중간에 들어가야 한다..

Q. Unpack을 한 후 Serial을 찾으시오. 정답인증은 OEP + Serial (Ex) 00400000PASSWORD) 1. upx로 언팩 ㄱ 이제 언팩은 실력자다. 2. x32dbg 실행 Good Job! 위에 있는게 놀랍게도 시리얼 번호! OEP는 Original Entry Point로, 처음 화면에서 push ebp의 주소이다. 결국 답은, OEP + Serial = 0040106EAD46DFS547

Q. 이 프로그램의 등록키는 무엇인가 1. exe 실행 2. x32dbg 실행 - wrong serial 문자열을 찾으려 했는데, 문자열 검색은 안됐다. 실행하면 저 이상 진행이 안되길래 ctrl+f2로 재시작 후 f8번으로 계속 이동했다. 계~속 어떤 loop가 돌길래 꾹 눌렀더니 어떤 문자열이 나타나서 esi값에서 덤프에서 따라가기를 눌러봤다. 무한으로 즐겨요~ f8만 무한으로 누르다가 upx로 패킹되어 있다는 사실을 알아냈다... 3. upx로 언패킹 upx 프로그램을 이용해 언패킹을 해봤다. ?? 뭦;? Permission denied 이 뜬다. 이건 디버거로 해당 exe파일을 열어둬서 프로세스 상태가 되어 열리지 않는 거라고 한다. 디버거를 당장 끄니 무사히 언패킹 완료. 4. x32dbg 실행..