물먹는산세베리아

* SWING CTF STUDY_REVERSING 주어진 파일을 실행하면 '정상'이 출력된다. 하지만 Immunity Debugger로 열면 '디버깅 당함'이 반복해서 출력된다. 문제에서 디버거를 탐지하는 함수 이름을 찾으라고 했으므로, 디버깅 중인지 아닌지 판별하는 flag 값을 갖고 있는 함수를 찾으면 될 것 같다. 이 함수를 실행시키면 정상인지 디버깅 당하는 중인지 결과가 출력되므로 일단 이 함수 안으로 들어갔다. 들어가서 F8을 눌러 계속 실행해보면 위 코드를 볼 수 있는데 이는 IsDebuggrPrEsent() API 코드로 PEB 주소를 구해 PEB.BeINGDeBugged 몜뻐예 접근하고 있다. 마지막 EAX+2의 값이 1일 때면 디버깅 중이고 0이면 일반 실행이므로 저 위치로 가 1인 걸 ..

보호되어 있는 글입니다.

* SWING CTF STUDY_REVERSING 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 내가 푼 것 주어진 파일 02.exe를 실행하면 제대로 작동하지 않는다. 디버거에서 열어도 마찬가지이다. 실행 자체가 안 되어 디버깅도 할 수 없으므로 동적분석 대신 정적 분석을 시도했다. HxD로 열었고, 양이 많지 않아서 쭉 봤는데 중간 쯤에 Rules, unlock code 라는 단어들이 보였다. Rules: Just find the unlock code, no patching allowed. It's very easy, so don't exspect to much. Greeting to the whole TNP, especially Folko for..

보호되어 있는 글입니다.

*SWING CTF STUDY_REVERSING 주어진 파일 06.exe를 Immunity Debbuger로 까보면 아래와 같은 경고창이 뜬다. 경고창을 보고 그냥 대수롭지 않게 넘겼는데 이걸로 패킹을 의심해볼 수 있다고 함 일단 예를 눌러주고 코드를 보면 PUSHAD라는 명령어가 보이는데 패킹된 것으로 보면 된다고 한다. UPX로 패킹된 것을 확인 했고 upx.exe 툴을 다운 받아서 언패킹했다. (디버거로 연 상태에서 하면 안됨) 디버거로 다시 열면 PUSH 명령어가 보이고 OEP는 00401360이 된다. 06.exe를 그냥 실행해보면 위와 같이 뜨는데 아무거나 넣게 되면 Wring serial!!이라는 메세지가 뜬다. 언패킹 전에는 문자열을 볼 수 없었지만 이제는 가능하므로 저 메세지가 있는 위치..

*SWING CTF STUDY_REVERSING 압축파일을 풀면 Project1.exe 파일이 보인다. 알맞은 문자열을 넣어야 할 듯 싶다. 아무거나 넣어봤더니 아무 반응이 없다. Immunity Debugger에서 문자열만 찾아봤는데 맨 밑쪽에 누가봐도 수상한 Congratulation!이 있었다. Breakpoint 걸어두고 다시 실행 문자열 찾을 때 본 숫자 넣어주니까 풀림 답:913465 suninatas.com/challenge/web09/web09.asp

*SWING CTF STUDY_REVERSING 주어진 파일을 실행해보면 ID와 PW를 입력받도록 되어있다. 저 상태에서 엔터를 누르면 who are you?라는 문구가 뜬다.(뜨자마자 사라져서 캡쳐 못함) 문제에서 원하는 ID와 PW를 입력하면 flag를 얻을 수 있음을 쉽게 생각할 수 있다. Immunity Debugger에서 깜 F8을 눌러 하나씩 실행하다보면 해당 지점에서 Input ID: 가 출력됨을 알 수 있다. 그렇다면 F7을 눌러 출력 과정을 살펴보면 된다. (일단 해당 지점에 breakpoint 걸어둠) F7을 눌러 들어가면 ID와 PW를 입력 받는 과정을 볼 수 있다. 내가 입력한 값과 파일이 갖고 있는 값을 비교해서 결괄르 보여줄 것이라고 예상되는데 일단 알 길이 없으니 한 줄씩 실행..

보호되어 있는 글입니다.

* SWING CTF STUDY_REVERSING + 2021-2 REVERSING STUDY 주어진 exe파일을 실행하면 위와 같은 메세지 창이 뜬다. '너의 HD가 CD-ROM이라고 생각하게 하라' 하지만 확인 버튼을 누르면 아래와 같은 메세지 창이 뜬다. 디버거로 까서 명령어를 바꿔주면 다른 메세지창을 열 수 있을 것 같았다. Immunity Debugger로 해당 파일을 열어보았더니 아까 본 메세지 박스 외에 "YEAH"라는 타이틀을 가진 메세지 박스가 있음을 알 수 있었다. F8를 눌러 하나씩 실행해 보면 현재는 Error 창이 떴다. 코드를 자세히 보면 JE SHORT abex' _cr.0040103D라는 게 보이는데 해당 주소로 가면 YEAH창에 대한 내용이 들어 있음을 볼 수 있다. JE는..

01 | 리버싱 엔지니어링 역공학 물건, 기계장치, 시스템 등의 구조, 기능, 동작 등을 분석하고 원리를 이해하며 단점 보완, 새로운 아이디어를 추가하는 작업 설계도 없는 완성된 제품의 구조, 기능, 동작을 관찰, 분석(어떻게 동작하는지) * 리버스 코드 엔지니어링(소프트웨어 분야 역공학) 중심으로 학습 02 | 리버싱(분석 방법) 1. 종류 정적분석 파일의 겉모습 관찰하여 분석(파일 실행X) 파일 종류, 크기, 헤더(PE) 정보, Import/Export API(라이브러리), 내부문자열, 압축여부 등 분석하기 디스어셈블러를 이요하여 내부 코드, 구조 확인 동적분석 소프트웨어 파일 직접 실행 후 동작 직접 관찰 어떤 파일을 건들고, CPU 레지스트리는 어떻게 설정되어 있고, 네트워크는 어떻게 활용, 접속..