취미로 개발하는 화이트해커

최대 1 분 소요


L10

문제

OEP를 구한 후 ‘등록성공’으로 가는 분기점의 OPCODE를 구하시오

정답 = OEP + OPCODE


파일 실행

image-20220401145734778


올리디버거

image-20220401145806683

  • 패킹된 모습 파악


exeinfope

image-20220401145826998

  • Aspack로 패킹된 형태 파악


언패킹 원리

  1. PUSHAD를 통해 스택에 레지스터 적재
    1. 이 지점에서 ESP에 접근하는 주소에 브레이크
  2. 메모리에 원본 코드 복구
  3. POPAD를 통해 스택으로부터 레지스터 추출 → 참조 시작


F8

image-20220401145944006


Follow in dump

image-20220401150007944


확인

image-20220401150033218


Breakpoint - Hardware on access - Dword

image-20220401150052299


F9 - F8

image-20220401150140492

  • POPAD
  • OEP로 이동하기 전 분기점


F8(OEP로 이동)

image-20220401150157518


Ctrl + A

image-20220401150216605

  • 언패킹
  • OEP = 00445834


Search for - All referenced text strings

image-20220401150239130

  • 성공시 문자열 발견
  • 분기점 있을거라 확신


이동

image-20220401150432550

  • 분기 명령어 발견
  • 분기점의 OPCODE = 75 55

업데이트:

참고