![]()
데이터 압축(Data Compression) 비손실 압축 : 압축된 파일을 100% 원래대로 복원 가능 파일(데이터) 크기를 줄여서 보관, 이동에 용이 7-zip, 빵집과 같은 압축 프로그램이 이에 해당 알고리즘: Run-Length, Lempel-Ziv, Huffman 손실 압축 : 원래대로 복원할 수 없음 파일(데이터)에 의도적인 손상을 주어 댓가로 압축률을 높임 멀티미디어 파일(jpg, mp3, mp4)이 이에 해당 사람의 눈, 귀가 거의 알아차리지 못하는 수준에서 데이터에 손상을 입힘 실행 압축 실행(PE)파일을 대상으로 파일 내부에 압축해제 코드 포함, 실행되는 순간에 메모리에서 압축을 해제 시킨 후 실행 실행 압축된 파일은 PE 파일, 내부에 원본 PE 파일과 decoding 루틴이 존재한다...
![]()
* SWING CTF STUDY_REVERSING 주어진 파일을 실행하면 '정상'이 출력된다. 하지만 Immunity Debugger로 열면 '디버깅 당함'이 반복해서 출력된다. 문제에서 디버거를 탐지하는 함수 이름을 찾으라고 했으므로, 디버깅 중인지 아닌지 판별하는 flag 값을 갖고 있는 함수를 찾으면 될 것 같다. 이 함수를 실행시키면 정상인지 디버깅 당하는 중인지 결과가 출력되므로 일단 이 함수 안으로 들어갔다. 들어가서 F8을 눌러 계속 실행해보면 위 코드를 볼 수 있는데 이는 IsDebuggrPrEsent() API 코드로 PEB 주소를 구해 PEB.BeINGDeBugged 몜뻐예 접근하고 있다. 마지막 EAX+2의 값이 1일 때면 디버깅 중이고 0이면 일반 실행이므로 저 위치로 가 1인 걸 ..
![]()
* SWING CTF STUDY_REVERSING 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 내가 푼 것 주어진 파일 02.exe를 실행하면 제대로 작동하지 않는다. 디버거에서 열어도 마찬가지이다. 실행 자체가 안 되어 디버깅도 할 수 없으므로 동적분석 대신 정적 분석을 시도했다. HxD로 열었고, 양이 많지 않아서 쭉 봤는데 중간 쯤에 Rules, unlock code 라는 단어들이 보였다. Rules: Just find the unlock code, no patching allowed. It's very easy, so don't exspect to much. Greeting to the whole TNP, especially Folko for..
![]()
*SWING CTF STUDY_REVERSING 주어진 파일 06.exe를 Immunity Debbuger로 까보면 아래와 같은 경고창이 뜬다. 경고창을 보고 그냥 대수롭지 않게 넘겼는데 이걸로 패킹을 의심해볼 수 있다고 함 일단 예를 눌러주고 코드를 보면 PUSHAD라는 명령어가 보이는데 패킹된 것으로 보면 된다고 한다. UPX로 패킹된 것을 확인 했고 upx.exe 툴을 다운 받아서 언패킹했다. (디버거로 연 상태에서 하면 안됨) 디버거로 다시 열면 PUSH 명령어가 보이고 OEP는 00401360이 된다. 06.exe를 그냥 실행해보면 위와 같이 뜨는데 아무거나 넣게 되면 Wring serial!!이라는 메세지가 뜬다. 언패킹 전에는 문자열을 볼 수 없었지만 이제는 가능하므로 저 메세지가 있는 위치..
![]()
*SWING CTF STUDY_REVERSING 압축파일을 풀면 Project1.exe 파일이 보인다. 알맞은 문자열을 넣어야 할 듯 싶다. 아무거나 넣어봤더니 아무 반응이 없다. Immunity Debugger에서 문자열만 찾아봤는데 맨 밑쪽에 누가봐도 수상한 Congratulation!이 있었다. Breakpoint 걸어두고 다시 실행 문자열 찾을 때 본 숫자 넣어주니까 풀림 답:913465 suninatas.com/challenge/web09/web09.asp
![]()
*SWING CTF STUDY_REVERSING 주어진 파일을 실행해보면 ID와 PW를 입력받도록 되어있다. 저 상태에서 엔터를 누르면 who are you?라는 문구가 뜬다.(뜨자마자 사라져서 캡쳐 못함) 문제에서 원하는 ID와 PW를 입력하면 flag를 얻을 수 있음을 쉽게 생각할 수 있다. Immunity Debugger에서 깜 F8을 눌러 하나씩 실행하다보면 해당 지점에서 Input ID: 가 출력됨을 알 수 있다. 그렇다면 F7을 눌러 출력 과정을 살펴보면 된다. (일단 해당 지점에 breakpoint 걸어둠) F7을 눌러 들어가면 ID와 PW를 입력 받는 과정을 볼 수 있다. 내가 입력한 값과 파일이 갖고 있는 값을 비교해서 결괄르 보여줄 것이라고 예상되는데 일단 알 길이 없으니 한 줄씩 실행..
![]()
* SWING CTF STUDY_REVERSING + 2021-2 REVERSING STUDY 주어진 exe파일을 실행하면 위와 같은 메세지 창이 뜬다. '너의 HD가 CD-ROM이라고 생각하게 하라' 하지만 확인 버튼을 누르면 아래와 같은 메세지 창이 뜬다. 디버거로 까서 명령어를 바꿔주면 다른 메세지창을 열 수 있을 것 같았다. Immunity Debugger로 해당 파일을 열어보았더니 아까 본 메세지 박스 외에 "YEAH"라는 타이틀을 가진 메세지 박스가 있음을 알 수 있었다. F8를 눌러 하나씩 실행해 보면 현재는 Error 창이 떴다. 코드를 자세히 보면 JE SHORT abex' _cr.0040103D라는 게 보이는데 해당 주소로 가면 YEAH창에 대한 내용이 들어 있음을 볼 수 있다. JE는..
