abex crack me #1

* SWING CTF STUDY_REVERSING + 2021-2 REVERSING STUDY

?????? 갑자기 안 열려서 이전 자료로 대체합니다 ㅠㅠ

 

abex' crackme #1.exe

0.01MB

 

주어진 exe파일을 실행하면 위와 같은 메세지 창이 뜬다. '너의 HD가 CD-ROM이라고 생각하게 하라'

하지만 확인 버튼을 누르면 아래와 같은 메세지 창이 뜬다.

디버거로 까서 명령어를 바꿔주면 다른 메세지창을 열 수 있을 것 같았다.

 

Immunity Debugger

Immunity Debugger로 해당 파일을 열어보았더니 아까 본 메세지 박스 외에 "YEAH"라는 타이틀을 가진 메세지 박스가 있음을 알 수 있었다. 

 

F8를 눌러 하나씩 실행해 보면 현재는 Error 창이 떴다. 

코드를 자세히 보면 JE SHORT abex' _cr.0040103D라는 게 보이는데 해당 주소로 가면 YEAH창에 대한 내용이 들어 있음을 볼 수 있다.

JE는 비교하는 값이 같으면 해당 주소로 jump한다.  위에서 EAX,ESI를 cmp로 비교하고 있는데 이 둘의 값이 다르기 때문에 40103D로 이동하지 않고 Error를 출력했던 것이다. 

 

따라서 JE 대신 JNE를 넣어주거나

JE(JZ)	a==b, 제로플래그 1
JNE(JNZ)	a!=b, 제로플래그 0

EAX값과 ESI값이 같도록 바꿔주면 된다.

Ctrl+F2를 눌러 다시 실행하였고 00401026의 JE를 JNE로 바꾸어 주었는데 자동적으로 JMZ로 바뀌었다.

그 후 다시 하나하나 실행을 해 보니 이번에는 0040103D가 실행되었고 아래처럼 메세지 창에"Ok, I really think that your HD is a CD-ROM! :p"이 출력되었다.