※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L09

StolenByte를 구하시오 Ex) 75156A0068352040 

 stolenbyte란? 프로그램의 한 부분의 코드가 다른 부분으로 옮겨진 것, 정상적으로 프로그램이 동작되지 않음, 패킹된 프로그램에서 볼 수 있음

1.     09.exe 파일을 패킹된 채로 실행한 창과 언패킹을 진행한 후 실행을 해보면 언패킹을 한 후에 뜨는 창은 오류가 나는 것을 확인할 수 있다. Strolenbyte란 패커가 이동시킨 코드의 윗부분(보통 OEP로부터 몇 개의 명령어)로, 이 경우 언패킹을 할 시에도 정상 실행이 되지 않는다. 처음에 뜨는 창이 정상적으로 실행되지 않으므로 이 부분이 stolenbyte라는 것을 짐작할 수 있다.

2.     언패킹을 진행한 실행 파일을 올리 디버거로 열어 보았다. 이때 처음 시작 부분은 00401000이고, 이 값을 기억해둔다.

3.     패킹된 파일을 올리 디버거로 연다. Ctrl+g를 누르고 아까 기억해 두었던 00401000주소로 이동한다.

4.     F2로 breakpoint를 걸고 실행을 해보면 우측에 텍스트들이 나타난다.

5.     우클릭->Search for->All referenced text strings를 클릭하면 아래에 stolenbyte로 추정되는 부분이 나타난다.

6.     “abex’s 3rd crackme”와 “click OK to check for the keyfile”, 그리고 그 위의 PUSH0까지가 stolenbyte이다. 따라서 6A0068002040006812204000이 정답이 된다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L08

OEP를 구하시오 Ex) 00400000 

OEP란? Original Entry Point, 프로그램의 시작 위치를 의미

1.     08.exe는 upx로 패킹되어 있으니 언패킹을 해준다.

2.     프로그램의 시작점인 01012475가 OEP가 된다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L07

컴퓨터 C 드라이브의 이름이 CodeEngn 일경우 시리얼이 생성될때 CodeEngn은 ‘어떤것'으로 변경되는가 

1.     07.exe를 올리디버거로 열고 f8로 계속 실행하다 보면 DialogBoxParamA에서 창을 하나 띄우게 된다.

2.     그 창에서 Check 버튼을 누르면 Hex dump 창에 L2C-5781Ykpfows4562-ABEX라는 시리얼이 뜨게 되고 그것을 입력하면 올바른 시리얼이라는 창을 띄우게 된다.

3.     다음으로 C드라이브의 이름을 CodeEngn으로 바꾸고 진행을 하면 방금의 결과와는 달리 시리얼 번호가 “L2C-5781EqfgEngn4562-ABEX”로 바뀐 것을 확인할 수 있다. 즉 Windows->Ykpfows, CodeEngn->EqfgEngn로 바뀐 것이다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L06

Unpack을 한 후 Serial을 찾으시오.

정답인증은 OEP + Serial 
Ex) 00400000PASSWORD 

1.     06.exe를 보면 upx로 패킹이 되어있다. 언패킹을 해준다.

3.     All referenced text strings을 열어서 문자열을 확인한다.

4.     “AD46DFS547”이라는 문자열을 확인할 수 있다. 이것이 06.exe의 시리얼이 된다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L05이 프로그램의 등록키는 무엇인가 ?

1.     PEID로 확인하면 실행파일이 UPX로 패킹된 것을 확인할 수 있다.

2.     cmd창을 통해서 언패킹을 해준다.

3.     언패킹이 된 실행파일을 올리디버거로 연 후 우클릭->Search for->All referenced text strings를 선택한다.

4.     “Registered User”와 “GFX-754-IER-954”라는 시리얼 번호를 확인할 수 있다. 05.exe를 실행해서 아래의 텍스트를 입력하면 “Congrats! You cracked this Crackme!”라고 뜨고 문제를 해결할 수 있다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L04이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고 있다. 디버거를 탐지하는 함수의 이름은 무엇인가?

1.     04.exe 파일을 올리 디버거로 열고 f8을 누르다 보면 어느 순간부터 ‘디버깅 당함’이라고 뜨는 것을 볼 수 있다.

2.     오른쪽마우스-Search for-All intermodular calls를 클릭해서 함수를 확인하면 아래 이미지와 같은 결과가 나온다. 이 함수들 중에서 디버거를 탐지하는 함수는 IsDebuggerPresent이다.

※ 작년에 작성한 라이트업입니다. ※ 

Basic RCE L03 비주얼 베이직에서 스트링 비교함수 이름은? 

1. 올리 디버거에서는 03.exe 파일이 열리지 않으니 HxD를 통해서 파일을 연다.

2. Decoded text를 읽다 보면 여러 함수 이름들이 나오는 부분이 있다. 이 중에서 스트링 비교함수의 이름은 vbaStrCmp이다.

※ 작년에 작성한 라이트업입니다. ※ 

1. 02.exe.파일을 올리 디버거로 열어보지만 열리지가 않는다.

2. HxD는 손상된 파일도 열 수 있는 디버거다. HxD를 사용하니 파일이 열리는 것을 확인할 수 있다.

3. Decoded text를 읽어보면 패스워드를 확인할 수 있다. JK3FJZh가 패스워드가 된다.

 HxD 프로그램을 통해서 실행이 되지 않는 파일도 읽을 수 있다.