티스토리 뷰

Tutorial 04


4번째 문제는 설치하는 프로그램이 있음








등록된 버전이 아니라서 그룹 추가는 세개까지 밖에 안됨



그룹 개당 네명까지만 등록할 있음

 

à 등록 제한을 받지 않도록  리버싱 해보기

 

설치된 폴더로 가서


exe파일을 리버싱해보자

 

화면에서 특정 부분을 클릭했을 때가 코드 어디인지 파악해야함

CALL 함수보고 api 안나오는거 보면 내부로 들어가면 CALL 함수 그안에 CALL함수.... 

00000000부터 FFFFFFFF 까지 익셉션 주고

 

그냥 F9 눌러보기

똑같이 à 로그인하면 옆에 레지스트리 값이 바뀜

 

제한이 걸려서 팝업창이 띄운다음에 코드를 보려면

F12 누르거나 일시정지 버튼을 누르고

ALT+F9누르면 Back to user mode

 

[back to user mode]

- 특정 이벤트를 일어나기 전에 설정해 두고 Call 명령이 일어난 바로 다음 위치를 잡을수 있다.

1. 프로세스 attach

2. 실행(F9)

3. 프로그램을 메시지 창과 같은 정지된 상태로 만든다.

4. 일시정지버튼을 누른다 (F12)

5. back to user mode(Alt + F9) 설정

6. 프로그램 이벤트 발생(메시지 창에서는 확인 버튼 클릭)

7. 올리디버거에서 해당 부분에 커서가 설정된다.

(주의할 점은 back to user mode 기능은 브라우저나 내부 스레드가 작동하는 프로그램의 경우에는 내부 이벤트가 수시로 일어나기 때문에

해당 모드가 풀려버리니 사용하려면 메시지 창과 같이 프로세스가 멈추는 상태에서 사용하는것이 좋다.

 


그런뒤에 팝업창에서 예를 누르자 현재 주소가 프로그램종료리턴(7C93E514)에서 0045631B 바뀜





F8눌러서 RETN으로 넘어가고

F8 누르면 바로 위에 CALL함수가 있는 다음줄로 가게됨

à CALL함수가 메시지 박스이다

 

 

CALL함수 위에 CMP EAX, 4 있음



4 비교한 뒤에 JL 하므로 바로 점프에 가도록 꿔주기

JL Jump if less 줄임

어셈블리어로 해석할때는 <라고 해석되어짐

C언어로 코딩할때는 >= 표현해야



00412DD3



플레이 버튼을 누르고


다섯번째  사람을 등록하기 성공!

 

 

Add Group

같은 방법으로 제한이 있는 그룹추가를

F12 누르거나 일시정지 버튼을 누르고

ALT+F9누르면 Back to user mode한뒤에 확인버튼 클릭


CMP EAX, 3 보임

밑에 JL JMP 바꾼후

00408B08



Add Group


그룹이 추가된당 

 

 

 

About

Help - About 있는 Unregistered Version 문자열을 고쳐보자


Alt+M(현재 메모리의 모습)들어가서 Ctrl+B(Search)


Unregistered Version v1.07 찾기


덤프가 하나 떠짐

시작주소가 004D4830이니까 주소로 가보자


헥스부분에서 Ctrl+G


Unregistered. 선택


Registered 변경뒤 저장하고 저장한 exe실행하면


오호


 

프로그램 이름 ()




003F485C



004E4BE6



006F2C44



 

 

회색줄

회색줄에 적힌 This is an unregistered version of PixtopianBook...... 바꾸기

Alt+M들어가서 Ctrl+B(Search)


73FDD6A4

7FFDF22C

가서 했는데 안바뀜!!

ASCII 다시 검색


0048F974





저기 나온 주소 더블클릭하면



JNZ 강제로 JMP


쨔쟈쟌

















참고







악성코드 같은 경우는 여기에 있는 모든 문자열을 확인하고 있음

난독화나 패킹 되어있으면 깨져있겠지만 안되어있으면 있음

 

 

 

 

올리디버거에서 문자열 모아보기


exe 포함된 모든 API 볼수 있음


댓글
댓글쓰기 폼