Ctrl + Shift + ESC

다운받아 실행해 보려 했으나 역시 실행파일이 손상되어 실행이 되지 않았다. 따라서 HxD를 통해 바이너리 코드를 분석해 보았다. 파일이 손상되지 않았다면 함수의 이름이 되었을 것으로 추청되는 흔적들을 찾을 수 있었다. Nope과 Yeah로 조건문이 있었을 것으로 미루어 짐작해 본다. CrackMe#1과 Yeah, you did it! CrackMe#1이 있는 것으로 보아 CrackMe#1과 조건문을 통해 비교하는 것 같다. 그 뒤를 보면 비밀번호로 추정되는 것을 확인할 수 있다. 그 아래도 확인하면 Rule도 볼 수 있다. It's very easy라고 적혀있는 부분이 조금 ...ㅋㅋㅋ 성공했다

IDA를 통해 파일을 열어보기 전에 1.exe를 실행해 보았다. 아무런 작업을 하지 않은 상태에서 확인을 눌러 보았다. IDA를 통해 실행한 뒤에 GetDriveTypeA의 값을 입력받는 곳에서 수정을 통해 값을 CD-ROM에 해당하는 것으로 입력하면 될 것 같다. IDA 실행 화면이다. GetDriveTypeA 함수를 실행한 뒤에 eax와 esi를 비교해서 둘이 같은지를 살펴본다. 둘이 같다면 Ioc_40103D로 이동해서 CD-ROM으로 인식한다. GetDriveTypeA 함수를 찾아보았다. https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-getdrivetypea GetDriveTypeA function (fileapi.h)..

서론 간단한 예제인 HelloWorld.exe를 분석해보는 실습이다. 예제는 1초를 대기하고 Hello, world!를 출력하는 프로그램이다. /* File: hello-world.cpp Build opts: - /MT -> Library Static Linking - /DYNAMICBASE:NO -> Disable ASLR - /od -> Disable Optimization */ #include #include char* str; int main() { int delay = 1000; Sleep(delay); // 1000ms(1초)를 대기합니다. str = (char*)"Hello, world!\n"; printf(str); return 0; } 정적 분석 IDA로 파일 열기 신뢰할 수 없는 프로그..

IDA The Interactive Disassembler (IDA) : Hex-Rays 사에서 제작한 디스어셈블러이다. IDA의 메인 기능은 디스어셈블이지만 이 외에도 여러 환경에서의 디버깅과 다양한 아키텍처 디컴파일과 같이 여러가지 기능을 제공한다. 이 때문에 바이너리를 분석해야 하는 리버스 엔지니어링 업무에는 대다수 IDA를 이용한다. IDA에는 다양한 라이센스가 존재하는데 기업에서 보편적으로 사용하는 IDA Pro는 대략 천만원에서 이천만원 사이의 금액대를 갖는다. 리버스 엔지니어링을 처음 공부하는 개인 이용자가 지불하기에는 부담이 큰 금액이기 때문에 Hex-Rays 사는 IDA Freeware를 제공한다. IDA Freeware는 x64 아키텍처에 한해 디컴파일 기능을 지원하며, 상업적 목적 이..