취미로 개발하는 화이트해커

최대 1 분 소요


L11

문제

basic 09와 같음

OEP + Stolenbyte 구하라


파일 실행

image-20220401153045655

image-20220401153054657


올리디버거

image-20220401153154076


ExinfoPe

image-20220401153207038


언패킹

image-20220401153249220

  • F8 - Follow in Dump


image-20220401153332144

  • Dump Window - Breakpoint - Hardware on access - Dword


F9

image-20220401153418584

  • POPAD 발견
  • 분기 함수 전에 수상한 코드 발견


F9

image-20220401153538837


OEP로 넘어가기

image-20220401153606984


F8 - Messagebox 진행

image-20220401153639113

  • 실행 시 파라미터 3개 누락 확인
  • NOP 코드 총 12byte 확인


코드, 덤프, 스택 윈도우 대조

image-20220401153702114

  1. Code Window

    a. Messagebox 실행 전까지 파라미터 정상 입력

  2. Register Window

    a. ESP - Follow in Dump

  3. Stack Window

    a. Code address 0040100C : Stack address 0019FF64

    b. Stack address : 0019FF68 ~ 0019FF6B : Hex dump 12 20 40 00

    c. Stack address : 0019FF6C ~ 0019FF6F : Hex dump 00 20 40 00

    d. Stack address : 0019FF70 ~ 0019FF73 : Hex dump 00 00 00 00

  4. 즉, Stolenbyte = 12byte

  5. Code address 00401000 ~ 0040100B = Stolenbyte 자리


POPAD

image-20220401153820858

  • Stolenbyte 발견
  • OP CODE : 6A0068002040006812204000


언패킹

image-20220401153843430

  • Stolenbyte된 자리에 Ctrl + E 로 OP CODE 삽입


OEP

image-20220401153904874

  • OEP = 00401000

업데이트:

참고