목록2026/05 (30)

yon11b

[Lena Reversing] 4번-PixtopianBook 체험판 크랙하기

PixtopianBook 프로그램을 크랙하는 문제이다.풀이설치 파일을 install해준다.그리고 username 넣고 만들어준다.그럼 이런 화면이 나온다. 1. Unregistered version 문자열 삭제/수정 Memory창으로 가서 ctrl+b 눌러서 검색을 해주자. 검색아: PixtopianBook (UNREGISTERED 해당 문자열의 주소를 찾았다. 저 경로로 가서 문자열을 수정해주자. UNREGISTERED ~~ 부분을다 0으로 채워서 안 보이게 해주자. (수정은 ctrl+e로 가능하다) 변경사항을 copy execute file로 저장해주고 실행해보자. 잘 없어진 것을 확인할 수 있다!! 2. This is an unregistered version of PixtopianBook..
보안/리버싱 2026. 5. 30. 23:57
[Lena Reversing] 3번-잔소리 제거하기

두 개의 파일이 있다.RegisterMe.exe 파일 먼저 살펴보겠다. 진짜 시작은 00401000에서부터이다. 실행해보면 다음과 같은 창들이 뜬다. nag(잔소리. 여기서 1번 3번 창)를 없애는 것이 목적인 문제이다. 풀이CMP EAX, 0의 값은 항상 ZF=1이다.GetModuleHandleA가 실행되고 반환된 값은 EAX에 할당되기 때문이다.그래서 그냥 실행하면 JE는 무조건 실행된다.근데 우리는 x표 친 부분을 실행 시켜서는 안 되고 0x401024로 바로 넘어가야 하는데 그 방법에는 여러가지가 있다.JE를 JMP로 수정entry point를 401000이 아니라 401024로 수정2번 방법으로 해주자entrypoint가 위치한 주소는 4000E8이다.dump창으로 가서 이 주소를 24 1..
보안/리버싱 2026. 5. 30. 23:49
[SK 쉴더스 루키즈] 윈도우 악성코드 고급 동적 분석: OllyDbg, Lena reversing tutorial01 문제

3가지 공부 거리가 있다.1. 어셈 플래그 수정해서 성공하는 방법2. 조건에 맞는 파일 생성하여 해결하는 방법3. 크랙 만들기 1. 어셈 플래그 수정해서 성공하는 방법 1. 파일 존재 거짓말 치기 CreateFileA는 파일 생성만 하는 게 아니라 파일 open도 하는 함수이다.둘 중에 뭘 할지는 세번째 인자에서 명시한다.여기서는 PUSH 3 > OPEN_EXISTING으로, 이미 존재하는 파일 open하기이다. 그런데 Keyfile.dat이라는 파일이 존재하지 않으므로 EAX에 -1(FFFFF FFFFF)이 들어간다.→ 참고: x86에서는 함수 반환값이 항상 EAX에 들어간다.CMP 결과가 0이 아니어야 error msg 출력 코드를 건너뛰고 정상 흐름(ReadFile)으로 이동할 수 있다.지금은 0..
보안/SK 쉴더스 루키즈 2026. 5. 30. 04:06
[SK 쉴더스 루키즈] EMU 8086 실습(신호등, 계산기)

EMU8086이란?16비트 x86 환경8086 CPU 에뮬레이터 + 어셈블리 개발 도구8086 CPU를 가상으로 흉내 내서 어셈블리 코드를 실행해볼 수 있다. 구분 16비트 (8086 ) 32비트 (80386+) 범용 레지스터AX, BX, CX, DXEAX, EBX, ECX, EDX포인터 레지스터SP, BP, SI, DIESP, EBP, ESI, EDI주소 크기16비트32비트최대 메모리1MB4GB실행 모드Real ModeProtected Mode시스템 호출INT 21hWindows API, SYSENTER 등어셈 문법상대적으로 단순확장된 명령어 다수 EMU8086: DOS(16비트) 인터럽트 호출 방식 사용반면에, 32비트 Windows에서는 보통CALL MessageBoxACALL CreateFi..
보안/SK 쉴더스 루키즈 2026. 5. 30. 03:52
[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-02)

======= 정적 분석 =======dll 파일이라 실행을 이렇게 해야 한다.C:\windows\system32\rundll32.exe C:\Lab03-02.dll,installA [네트워크 통신 dll -PEstudio(libraries)]ws2_32.dll네트워크 관련 kernel32.dll파일 관련 advapi32.dll레지스트리, 서비스 관련 msvcrt.dllprintf 쓰면 등장. 문자열 관련. [ServiceMain - PEstudio(exports)]ServiceMain이 여기서 이상한 얘다.왜냐?ServiceMain이란?: Windows Service의 실제 시작 함수(entry 역할)일반 프로그램은 main(), WinMain() 부터 시작한다. (ServiceMain은 x)본래 Se..
보안/SK 쉴더스 루키즈 2026. 5. 29. 03:08
[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-01)

======== 정적 분석 ========순서: 정적분석 → 동적분석 [entropy 비정상적 높음]entropy란?PE 파일 내부 데이터가 얼마나 “무질서한지” 나타내는 값entropy가 높다패킹, 암호화 의심entropy 가 낮다일반 코드/문자열일 가능성 높음entropy 기준0 ~ 3→ 매우 규칙적4 ~ 6→ 일반적인 코드/데이터7 이상→ 압축/암호화/패킹 의심 sections > entropy.data 영역의 엔트로피가 좀 높긴 하다.[import table에 함수가 하나뿐!]imports> 함수가 하나뿐?! (ExitProcess)왜 import table에 함수가 ExitProcess 하나만 있는가?-> 다른 API들은 import table에 안 적고 실행 중 직접 찾아서 호출했기 때문이다...
보안/SK 쉴더스 루키즈 2026. 5. 29. 02:50
이전 Prev 1 2 3 4 5 Next 다음