'분류 전체보기' 카테고리의 글 목록 (12 Page)

리버싱 예제 :: ollydbg -03 Serial 찾기

SECURITY/REVERSING 2020. 7. 29. 22:33

(KeyGenMe 4 by Vallani) 이번 문제는 Name이 CodeEngn 일 때의 Serial 을 찾는 것이다. 프로그램 실행 화면은 다음과 같다. 여기에 Name 과 Serial 을 찾아야 한다. (풀이) 먼저, ollydbg 에서 열어주고 CALL 과 String 들을 살펴본다. 이를 바탕으로 두 가지 방식으로 접근해서 풀었다. 1. String 에서 목표지점으로 가기 여기서 우리가 원하는 출력물은 "You succeeded..." 임을 짐작할 수 있다. 거기로 이동해보면, 다음과 같은 화면이 나온다. 여기서 앞에 의미있는 정보가 없기 떄문에 첫번째 "You failed ..." 로 가본다. 적당히 중단점을 잡는다. 위에 있는 GetDlgItemTextA 함수가 입력한 정보를 읽어오는 함수라..

리버싱 예제 :: ollydbg -02 RegisterKEY

SECURITY/REVERSING 2020. 7. 29. 18:02

(SuNiNaTas 의 Binary 11번) 딱 파일을 실행해보면 Register KEY 를 찾는 문제임을 알 수 있다. 그냥 아무 글자를 입력하면 별다른 반응을 보이지 않고 문자열만 초기화된다. (풀이) string 들을 살펴보면 Register key 를 입력하면 "Congratulation!" 이라는 문자열이 출력됨을 짐작할 수 있다. 그 부근으로 가보자. 다만 string 도, 함수 CALL 도 많아서 일단 main 을 찾아서 어떤 값을 비교하는지를 봐야겠다. main 을 찾아가는 방법 ! alt + m 혹은 위에 M 클릭 -> Contains 가 code 인 것을 찾는다. 그 주소가 main 의 시작 주소이다. (라고 했는데 뭐.....) Congratulation! 출력 전에 JNZ 구문이 있..

리버싱 예제 :: ollydbg -01 CrackMe

SECURITY/REVERSING 2020. 7. 28. 18:34

(abexcm1.exe 예제) 문제는 간단하다. 이 안내 메시지 다음에 출력되는 안내 메시지가 "Ok, I really thick that your HD is a CD_ROM! :p" 이거면 된다. 아무것도 하지 않고 실행시키면 이 메시지가 뜬다. (풀이) 먼저, 코드를 살펴보면 어떤 조건을 만족시킨다면 맨 마지막 "Ok, I really thick that your HD is a CD_ROM! :p" 가 출력됨을 알 수 있다. 호출되는 함수들을 보니 GetDriveTypeA 가 있고, 이 API 가 리턴하는 값에 따라서 출력값이 달라짐을 알 수 있다. 해결 방법은 많겠지만, 두 가지 방법으로 풀어보았다. 1) 코드 수정 CMP EAX, ESI 에서 두 레지스터의 값을 비교한다. 그 후 EAX 와 ESI..

ollydbg :: 03 파일 패치 후 저장하기

SECURITY/REVERSING 2020. 7. 24. 12:15

1. 파일 패치 파일 패치(patch) 는 두 파일들 사이의 차이들을 출력해주는 프로그램인 diff 에 의해 생성된 파일을 의미한다. 주로 어떤 프로그램의 기능 향상 / 문제점 해결 등을 위해 소스 파일을 고치고 고친 정보들을 저장할 때 쓰인다. 고친 파일 정보를 전부 다 가지고 있을 필요가 없고, 어떤 부분이 바뀌었는지 알 수 있기 때문에 유용하다. 2. ollydbg 파일 패치 방법 (크랙) Code Window, Register Window :: 원하는 부분 더블 클릭 -> 변경 후 Assemble / ok 클릭 Dump Window, Stack Window :: 원하는 부분 클릭 후 Ctrl + E 3. 저장하기 Code Window 에서 마우스 우클릭 -> Copy to executable ->..

ollydbg :: 02 용도 및 사용법

SECURITY/REVERSING 2020. 7. 24. 12:15

0. 용도 OllyDbg : 개발한 Oleh Yuschuk 의 이름을 딴, 바이너리 코드 분석을 위한 x86 디버거이다. 소스 코드가 없을 때 유용하게 사용된다. - 레지스터 추적 - 함수, API 호출 - Switch 문, table, 상수, 문자열 인식 - 오브젝트 파일과 라이브러리에서 루틴들의 위치를 찾아줌 1. 파일 열기 : file->ofen or F3 or 분석하려는 파일을 끌어다가 놓기 1 :: 주소 창 : 명령어가 실행되는 주소 2 :: OP코드 창 : 기계어 3 :: 디스어셈블리 창 : 어셈블리어 4 :: 레지스터 창 : 레지스터의 값을 표시해주는 창 5 :: 메모리 덤프 창 : 주소, Hex dump, 각 Hex 에 따른 ASCII 코드로 해석된 내용 6 :: 스택 창 : 스택 주소, ..

ollydbg :: 01 설치 및 설정

SECURITY/REVERSING 2020. 7. 24. 10:42

설치하기 1) 홈페이지에 접속 : http://www.ollydbg.de/ 2) Download 에서 원하는 버전 다운로드 2. 설정 UDD, Plugin 파일을 생성해 준다. (이미 만들어져있다면 상관 없다) 각종 dll 파일들을 Plugin 으로 옮겨준다. ollydbg 를 열어서 path 설정을 해준다. (안해도 그만이지만 지저분하지 않게 관리..) Options -> Apperance -> Directories 64 bit 로 실행하면 이런 경고문들이 뜨는데, 예 , 확인 을 누르면 된다. 경고문처럼 실행할 때 관리자 권한으로 실행해도 되지만, 안해도 무관 ~ 디버거로 열었을 때 시작할 위치를 설정해준다. Alt+O 혹은 Options -> Debugging options -> Events 에서 ..

디스에셈블러 :: IDA, x64dbg

SECURITY/REVERSING 2020. 7. 24. 10:42

IDA, Ghidra, gdb, x64dbg 등은 디스어셈블러 도구이다. IDA (Interactive DIsAssembler) (아이다) : 기계어 코드로부터 어셈블리어 코드를 생성해주는 소프트웨어 주로 정적분석 ! 다양한 실행 파일과 중앙 처리 장치, 운영 체제를 지원한다. PE, ELE 실행 파일에 대해서는 디버거로 사용할 수 있다. 코드 섹션들 사이의 상호 참조와 API 호출 시의 파라미터, 그리고 다른 정보를 통해 자동 코드 분석을 수행한다. 디스어셈블이 어렵지만, IDA 는 디스에셈블을 향상시키기 위해 대화형 기능을 가지고 있다. 유료 버전을 사서 쓰면 기계어를 어셈블리어로 바꿔줄뿐 아니라 c언어 비슷하게 바꿔주지만 매우 비싸다.. 약 200만원 Ghidra 는 무료고 다양한 기능을 제공하므로..

PE 파일의 리버싱 도구 :: PE Viewer, exeinfo PE

SECURITY/REVERSING 2020. 7. 24. 10:41

PEViewer, exeinfope 등은 PE 파일을 열 수 있는 도구이다. PE Viewer : PE 구조를 볼 수 있는 도구 PE 헤더들이나 유효하지 않은 PE 파일들을 수정할 수 있다. 윈도우 32 / 64 bit 에서 DLL(Dynamic Link Library) , exe, 함수 등을 불러와서 살펴볼 수 있다. PE 구조를 공부하거나 악성 코드 분석, 리버싱 등에 유용한 툴이다. (이미지 출처 : https://download.cnet.com/PE-Viewer/3000-2352_4-10966763.html) exeinfo PE : A.S.L 이 만든 소프트웨어로 PE 파일을 분석하는 도구 해당 프로그램이 어느 언어로 컴파일 되었는지, 패킹, 크립팅, 프로텍팅 여부, 어느 툴에 의해 패킹되었는지 ..

ABOUT ME

🏰 🏰

티스토리툴바