[CodeEngn] Basic RCE L04

 

exe 파일을 디버깅하지 않고 실행해 보았다.

 

 

이번엔 IDA에서 디버깅을 했다.

 

 

함수의 기능을 확인할 수 있었다.

이제 IDA에서 디버깅해보자.

 

 

basic RCE 3처럼 Function name에서 확인하려 했으나 함수의 이름이 나타나 있지 않았다.

그래서 함수의 import 화면을 실행했다.

실행해보니 의심되는 함수 IsDebuggerPresent 함수가 있어 더블클릭한 뒤 x를 눌러 실행했다.

 

 

jz에 중단점을 두고 실행해 보았다.

 

 

EAX(return)값이 1이고, 분기점이 왼쪽으로 가 call이 실행되어 "디버깅 당함"이 출력되는 것을 확인할 수 있었다.

 

 

jz 중단점 전에 EAX 값을 0으로 바꿔서 확인해 보았다.

 

 

오른쪽 분기점으로 실행되어 예상했던 대로 "정상"이 출력되는 것을 확인할 수 있었다.

 

 

성공했다!