본문 바로가기

리버스엔지니어링

CodeEngn Advanced RCE L10 분석 후 드디어 코드엔진 Advance문제의 반을 풀었습니다. L07같은 경우는 어려워서 일단 남겨뒀네요.그래서 반 푼 기념으로 L10문제 분석을 하겠습니다. 문제는 지금까지와 별 다를바 없이 name과 serial을 입력하는 프로그램입니다. name에 따른 serial을 만드는 알고리즘을 파악해야 겠네요. 먼저 프로그램을 실행시키면 다음과 같이 틀리면 wrong serial을 표시하면서 꺼지게 됩니다.그럼 이제 직접 올리디버거를 통해 소스를 분석해보겠습니다. 먼저 name과 serial을 입력받는 부분입니다. 각각 CALL부분에 주석으로 달아놓은 말은 CALL로 부르는 함수가 strlen이라는 뜻입니다. strlen함수 밑에 있는 cmp구문과 함께라면 길이가 몇일때 해당되는지 알수 있겠죠.첫번째 strlen.. 더보기
CodeEngn Advanced RCE L03 분석 먼저 L03 문제를 살펴보겠습니다. 프로그램 자체는 굉장히 단순한 키젠미 파일로Name과 Serial을 입력한 후 Check를 눌렀을때 Serial이 맞으면 성공한다는 메시지가 뜨게 되고 Serial이 맞지 않으면 실패했다는 메시지가 뜨게 되는 프로그램입니다. 문제에서 원하는대로 Name이 CodeEngn일때 Serial을 구하면 되겠네요. 그래서 평소 크랙미파일을 풀때처럼 back to user mode를 통해서 에러메시지창을 잡아내시던가 혹은 오른쪽클릭-Search for-All referenced text strings를 통해서 You failed란 문자열을 출력하는 코드로 넘어오시면 됩니다.이때 맨 위부터 파란색박스를 보면 00401113 PUSH 03.0040323800401118 PUSH 3E.. 더보기
CodeEngn Basic RCE 끝! 수능끝나서 다시한번 달려봤습니다. ※추가Advance L01은 Basic L19랑 MD5해쉬값을 받아야된다는것 하나 빼고는 모두 동일해서 풀이를 올리는것을 생략하고 L02부터 올리겠습니다. 더보기
reversing.kr 44위 달성! 좀 빠르지만 2월목표였던 50위 안착을 1월달에 끝냈습니다. 이제 남은문제들이 거의 플래시, java,64bit용 프로그램 같이 32bit인 제 컴에서는 정적분석을 할수밖에 없는 문제들이라서잘 풀수 있을지 모르겠습니다. 더보기
awardhotspot 백신 V.0.2 v.0.1버전에서 왠지 꺼림찍한부분인게,폴더명들이 다 랜덤한문자열로 되있는것 같아서 혹시 제 바이러스이름이랑 다를수 있어서일단 폴더명이랑 전혀 관계없이 바이러스 기능이 같으면 잡도록 했습니다.또 추가한점은 창 크기를 줄이는 대신 가로로 스크롤바를 넣었으며, 이제는 삭제안된파일들은삭제 안 됨-파일명 이렇게 뜨게됩니다.참고로 바이러스는 치료하는게 아니라 삭제시킵니다.감염된 바이러스가아니라 그 자체가 이미 바이러스라서 그냥 삭제했습니다.그리고 테스트할때 쫌 멘붕했었는데 그냥 삭제하고 크롬을 새로고침한다고 없어지는것이 아니라크롬을 종료하고 다시 켜야지 사라지네요. awardhotspot제거하실때 이거 쓰시면 됩니다. 더보기
awardhotspot 백신 v.0.1 가장 최근버전 : V.0.2http://indosm.tistory.com/entry/awardhotspot-%EB%B0%B1%EC%8B%A0-V02 ------------------------------------------------------------------------------------------------------------------그냥 저도 짜증나서 awardhotspot이란 바이러스란 프로그램을 분석해봤는데꽤나 많은 분이 바이러스 해결법을 찾아서 제 블로그로 들어오시더라고요.그래서 한번 간단하게나마 백신을 만들어봤습니다.소스는 간단하게 저번에 분석글에서 처럼 바이러스가 있는 폴더의 파일(json파일)들의 hex값에서 awardhotspot바이러스의 signature를 비교해서 맞으면.. 더보기
reversing.kr reversing.kr이란 사이트에서 1000점을 넘고, 랭킹100등안에 드는 겨울방학 목표를 끝냈습니다!! 남은 1월은 편안하게 설 보내면서 학교 공부좀 하다가, 2월달에 50등 안에 들수있도록 또다시 도전해봐야겠네요.아마 풀이는 저번에 codeengn썻던것은 풀이가 널리 알려져있어서 답까지 알려드렸지만, reversing.kr사이트는 퍼져있는 풀이도 적고, 난이도도 codeengn보다 높은지라 한번 풀어보시라고 어떻게 생각을 해야되는지 힌트정도로만 짤막짤막하게 쓰겠습니다. 더보기
JS:DownloadNSave-Z [Adw] 분석 저번에 말씀드린 데로 크롬 킬때 자꾸 글씨에 초록색으로 하이퍼링크가 걸리면서 누르면 awardhotspot 창이 뜨는 바이러스가 있다고 말씀드렸는데요, 다시 백신을 v3에서 avast로 바꾸니 바로 잡혔습니다. ※참고로 치료법은 간단하게 C:\Users\사용자 이름\AppData\Local\Google\Chrome\User data\Default\Extensions\dfbjofkkdkbjldahbacdbbeennphlfcg\2.3폴더를 깨끗하게 지워버리시면 해결 됩니다. 일단 바이러스에 대한 기본적인 설명을 보면 appdata\local\google\chrome\user data\default\extensions 위에 dfb!~@#$^같은 폴더에 위의 그림과 같이 html,js,json파일들이 있습니다... 더보기
2014.1.16 suninatas 워게임 사이트 문제가 elf파일 리버싱이라서노트북을 살때까지 20번 문제를 푸는건 불가능일것 같아서다른 워게임사이트를 찾아서 돌아다니다 reversing.kr이란 사이트를 발견했습니다. 현재 3일에 한개씩 정도로 풀고있는데, 지금까지 푼것들은 꽤 참신한 방식의 문제들이네요. 그나저나 저기 easy crack오른쪽에 밑줄로 초록색되있는게awardhotspot이란 애드웨어인데, 백신사이트에 공개되있는 파일 위치에, 감염된 exe파일이 존재하지 않아서, 고치지 못하고있네요.어떻게 고쳐야되는지, 크롬에서만 바이러스가 걸리는거라 그냥 크롬 지우고 IE로 넘어갈까 생각중이네요. 더보기
2013.12.30 음 20번 문제가 elf파일형식으로 되있네요.vmware를 지운지 꽤 되서 다시 까는데 시간이 걸리므로 20번문제는 내일 계속 .... 더보기