[CodeEngn] Basic RCE L04

* SWING CTF STUDY_REVERSING

 

주어진 파일을 실행하면 '정상'이 출력된다.

하지만 Immunity Debugger로 열면 '디버깅 당함'이 반복해서 출력된다.

 

문제에서 디버거를 탐지하는 함수 이름을 찾으라고 했으므로, 디버깅 중인지 아닌지 판별하는 flag 값을 갖고 있는 함수를 찾으면 될 것 같다.

 

이 함수를 실행시키면 정상인지 디버깅 당하는 중인지 결과가 출력되므로 일단 이 함수 안으로 들어갔다.

들어가서 F8을 눌러 계속 실행해보면 위 코드를 볼 수 있는데 이는 IsDebuggrPrEsent() API 코드로 PEB 주소를 구해 PEB.BeINGDeBugged 몜뻐예 접근하고 있다. 마지막 EAX+2의 값이 1일 때면 디버깅 중이고 0이면 일반 실행이므로 저 위치로 가 1인 걸 확인한 후 0으로 바꾸면 '정상'이 출력된느 걸 볼 수 있을 것이다.

 

현재 값은 01로 이 함수가 결국 디버깅중인지 아닌지 판별해주는 flag 값 역할을 했음을 알 수 있다.

 

0으로 바꾸고 실행했더니 디버깅 중임에도 '정상'이 출력됐다.

 

답: IsDebuggerPresent