![]()
디버깅 전 이 부분은 PEView를 잘 활용해야 한다. UPX 실행 압축된 PE File의 특징을 말하자면 UPX0 (첫번째 섹션) 은 RawDataSize가 0이다. 나중에 압축 해제된 코드들이 들어갈 자리이다. UPX1 (두번째 섹션) 에는 압축된 코드와 압축해제 코드가 들어가있다. 1. notepad.exe 010073B4에서 Dos Signature와 비교함 (5A4D = Dos Signature) 010073C0에서 NT_Header Signautre와 비교함 (5045 = NT_Header Signature) EP는 0100739D 2. 디버깅 목적 원본 코드의 EP 즉, OEP(Original Entry Point)를 notepad_upx에서 찾는것 3. UPX 파일 트레이싱 압축해제 과정은..
데이터 압축 1. 비손실 압축 : 압축된 파일을 100%복원 가능 (ex. 7-zip, 빵집) 2. 손실 압축 : 의도적인 손상을 주어서 압축률을 높이는 압축 (ex. jpg, mp3, mp4) 실행 압축 - PE 파일 대상(exe, dll, sys) - 일반 압축과 다르게 PE 파일의 실행이 가능함 패커 패커란 실행 파일 압축기를 말함 - PE 파일의 크기를 줄이고자 하는 목적 - PE파일의 내부 코드와 리소스를 감추기 위한 목적 (ex. UPX, ASPack, UPack, PESpin, NSAnti) 프로텍터 PE파일을 리버싱으로부터 보호하기 위한 유틸리티
여러가지 레지스터가 있는데 그중에서 범용 레지스터만 알아보겠다. EAX : Accumulator for operands and results data 일반적으로 함수 리턴 값에 사용 EBX : Pointer to data in the dS segment ECX : Counter for string and loop operations 반복문 명령어에서 반복 카운트로 사용 EDX : I/O Pointer EBP : Pointer to data on the stack (in the SS segment) EBP는 함수가 호출되었을 때 그 순간의 ESP를 저장하고 있다가, 함수가 리턴하기 직전에 다시 ESP에 값을 돌려주어 스택이 깨지지 않도록 함 (스택 프레임 기법) ESI : source pointer for..
![]()
접속하면 이상한 페이지가 나온다. 그래서 일단 하나하나 실행해봤다. 별 다른건 없던 중 delete를 누르면은 file deleted 하면서 삭제가 된다. 이 경우 만약 system 함수를 써서 rm filename을 하는거라면 뒤에 ls-al을 붙여 파일 전체를 볼 수도 있다. 그럼 버프스위트로 파일 이름 뒤에 ;ls-al을 붙이고 파일을 삭제하면은 플래그 획득이 가능하다
![]()
This MP3 Player is limited to 1 minutes. You have to play more than one minute. There are exist several 1-minute-check-routine. After bypassing every check routine, you will see the perfect flag. Readme.txt를 읽어보면은 음악이 1분간 재생되는데 그 이상 재생되게 하라는 뜻 같다. 먼저 파일에 음악을 넣고 실행보면은 이렇게 알림창이 뜬다. 그다음 디버거를 통해 파일을 열어봤는데 Open을 눌렀을때 거의 무한 루프에 빠지게 돼서 파일 주소를 입력칸에 넣어야 한다. 그리고 저 1분 미리듣기만 가능합니다 부분을 찾아야 하는데 string으로 찾아봤을 ..
