![]()
#9.CSHOP 풀이. 따로 ReadMe.txt는 없기 때문에 바로 CSHOP.exe를 실행. ???????????정말 아무것도 없다. 아무거나 막 눌러보다보니 아래와 같이 떴다. 음.....P4W6RP6SES ==> 모르겠다.일단 문제부터가 C#이다.본능적으로 ExeinfoPE를 실행. 역시나 C++로 구성되었고, 적혀 있듯이 ./NET Reflector를 실행해보겠다.설치를 원하면 ===> http://allblackk.tistory.com/234?category=750989 Main 부분을 먼저 본다. 파란색으로 되어 있는 CSHOP을 누르고 오른쪽 클릭 후 Go Entry Point로 가면 된다. Click을 보면 IDA에서 본 문자열이 또 나온다.W54RE6MIPSP6S를 쳐보니 반응이 맞고,틀..
![]()
#8.RamsomWare 풀이. 일단 ReadMe.txt를 본다. Decrypt File(exe) ==> 즉 파일을 해독하라는 뜻.File이라는 txt가 있는데 알아볼 수 없는 글, 즉 암호화 되어 있다.Exe를 실행. Exe를 실행해보니 보편적인 랜섬웨어처럼 key값을 가지고 decoding, 즉 복호화되어 있는 거 같다.임의로 키 값을 입력해봤다. 이 문제는 file.txt만 암호화 되어 있는 거 같다.ExeinfoPE를 실행. run 파일이 UPX로 패킹이 되어 있다.Ollydbg를 실행. 일단 패킹된 파일에서 보이는 PUSHAD를 볼 수 O.그리고 쭉 살펴보다보면 NOP 값 전에 JMP를 볼 수 O. JMP가 중요한 건 누차 말해왔기 때문에 좀 더 자세히 본다. 언팩된 부분. 저기 0044AB75..
![]()
#7.Position 풀이. 일단 파일을 다운로드 받아서 exe를 실행해본다.그러기전에 ReadMe.txt도 있으니 읽어본다. 간단히 보면 Serial이 76876 - 77776일 때 PW를 찾고,PW는 4글자이고, P로 끝난다고 한다.Position.exe 파일을 실행해본다. 임의로 입력을 했지만, 애초에 클릭을 할 수 있는 것도 없고, 단지 틀리고 맞고를 알려주는 문구만 존재.일단 ExeinfoPE을 실행. C++로 되어 있고, 패킹은 따로 되어있지 않다.Ollydbg를 실행. 오른쪽 마우스 클릭 => Search for => All referenced text strings 실행. 문자열을 보면 Correct!가 보인다. 00181740을 CALL 해서 리턴 값이 참이면, Correct 출력. EC..
![]()
#6.ImagePrc 풀이. 일단 파일을 다운로드 받아서 실행해본다. Check를 눌러보니 Wrong이라는 메시지가 뜬다.아마 파일 이름도 ImagePrc인 것 처럼 그림을 비교한 후 Wrong이라는 메시지가 뜨는 거 같다.일단 ExeinfoPE를 실행. C++로 구성되어 있고, 패킹은 따로 되어 있지 않다.Ollydbg로 실행해본다. 일단 오른쪽 마우스 클릭 => Search for => All referenced text strings를 눌러서 문자열을 검색해본다. 일단 Wrong,Button이라는 문자열도 존재하는 것도 알 수 O.Button부터 좀 자세히 본다. Button을 좀 더 상세히 보면, 004013AE 쪽을 본다.무언가 15F90의 크기만큼 계속 CMP,즉 비교한다.즉 그림의 15F90..
![]()
#5.Replace 풀이. Download Link => http://reversing.kr/challenge.php 일단 파일을 다운로드해서 열어본다. 임의로 allblack이라는 문자를 입력하고, Check를 누르니 오류 메시지가 뜨면서 Replace.exe가 강제 종료 된다.일단 ExeinfoPE를 실행해본다. C++로 구성되어 있고, 패킹이 되어 있지 않다라는 정보 정도를 알 수 O.일단 Ollydbg로 실행해본다. 일단 많은 함수 중에 눈에 들어 오는 건 GetDIgItemInt라는 함수가 보인다.간단히 말해 단어 뜻 그대로 숫자를 받아오는 함수.애초에 Replace.exe에는 숫자만 입력이 가능했던 것이다.일단 BP를 걸고 확인해본다. GetDIgItemInt 함수에서 BP를 걸었더니, 즉 받..
![]()
#4.Music Player 풀이. 일단 Readme.txt 파일을 열어본다. 이 MP3 플레이어는 1 분으로 제한됩니다.1 분 이상 재생해야합니다.1 분 점검 루틴이 여러 개 있습니다.모든 점검 루틴을 우회하면 완벽한 플래그가 표시됩니다. 일단 exe 파일을 실행해본다. 임의로 allblack이라고 입력 후 Open를 눌러본다. 일단 ExeinfoPE를 실행. 패킹 안 되어 있다.그것말고는 딱히 없다.Ollydbg를 실행. 일단 메시지박스 함수를 찾아서 BP를 걸어주고 실행. BP가 걸린 코드 위를 보면 비교하는 부분을 볼 수 있다. 그리고 회색 부분을 유심히 본다.즉 00404568 부분을 보면 넘었는지 안 넘었는지 체크하고 점프하는 걸 알 수 O. 0040456B 부분을 무조건 점프시켜서 1분 제한..
![]()
#3.Easy Unpack 풀이. Download Link => http://reversing.kr/challenge.php 일단 다운로드해서 파일을 실행해본다. ReadMe.txt를 본다. OEP를 찾으라는 문제.Cf) OEP ==> Original Entry Point의 약자이고, 프로그램의 시작 위치를 말한다.packing된 파일들은 시작부분이 다른데 unpacking되는 부분에서 정상적인 파일의 시작부분으로 돌아가게되며 이부분을 OEP라고 한다.Easy_Unpackme.exe를 실행해본다. 정말 아무것도 없다.. 딱히 알 수 있는, 알 만한 것이 없다.ExeinfoPE를 실행해본다. Unknown.exe 라고 쓰여 있고 다른 정보는 적혀 있지 않다.Entry Point가 A04B라는 거 정도 알 ..
![]()
#2.Easy Keygen 풀이. Download Link => http://reversing.kr/challenge.php 일단 파일을 다운로드 받아서 실행. 임의로 Name이랑 Serial를 입력했더니 Easy Keygen.exe가 꺼진다.일단 ExeinfoPE를 실행해본다. C++로 구성되어 있고, 패킹은 따로 되어 있지 않는다.OllyDbg로 실행. 천천히 살펴본다.a. ECX에 문자열 길이를 저장.b. 00401077 ~ 004010B4 => 문자열 길이만큼 Serial를 생성.c.0040107E => 0018FE19 ~ 0018FE1B에서 10,20,30을 반복해 가져와서 ECX에 저장.d.00401083 => 아까 입력했던 input name의 문자들을 얻어와서 EDX에 저장.e.004010..
