반응형

PC리버싱 134

크랙미 4번풀이

이번에도 VB네요 아무패킹이나 보안없는 아주 좋은 취약점이보이네요 vbarstrcmp저게 옜날에는 대부분 strcmp즉 문자열비교인데 저기에bp걸면 대부분 나오는취약점입니다 vbarcmp를아니 모듈간호출로찻죠 바로나오네요 연 날짜 달등을 불러오네요 아마저부분에서 암호화생성인것같은데 저부분을추출한 결과 알고리즘은 (((시간*5)+1000)*년도)네요 이걸 파이썬으로코딩하면 이걸통해 우리는이제 vbarstrcmp보다 효율적인 키젠프로그램을만들었네요 소스코드입니다

크랙미2번풀이

Detect it easy로 기본정보를얻는다 VB코딩 패킹및프로텍터X vbavar이면 약점이있습니다 cmp api를찻으면됩니다 VB특징인 ThunRTMain이있네요 패킹이안되어있었어 문자열이바로보이네요 VB같은경우 api에 bp만잘걸어도 어떤 암호인지알수있습니다 이건 아닌가보네요.. 이렇게 bp만잘걸어도A8CCCCC8라는 저게 아마 시리얼키같네요 VB는 이렇게 간단한 꼼수가있습니다 암호화 알고리즘은 Serial값은 name의 앞의 4자리의 16진수 아스키코드 값에 16진수 64를 더한 값입니다

Visual studio 2019으로만들걸 리버싱하기

#pragma once #define _CRT_SECURE_NO_WARNINGS #include #include #define _WIN32_WINNT 0x0500 int main() { while (1) { Sleep(1000); if (IsDebuggerPresent()) printf("디버거 발견\n"); else printf("정상\n"); } return 0; } 코딩한 소스 연구결과 mainCRTstartup -- main메인함수 내부 f7으로들어가고 f8로 실행하니 파일실행이되니 다시f2로해서 저콜함수로 들어가보자 결국 함수는 main으로간다 중간중간 call들이 많아진건 보안때문인것같다

PC리버싱/기타 2020.05.16

X64dbg 설치 관련

https://sourceforge.net/projects/x64dbg/files/snapshots/ x64dbg - Browse /snapshots at SourceForge.net × sourceforge.net 프로그램다운로드사이트 https://github.com/ThunderCls/xAnalyzer ThunderCls/xAnalyzer xAnalyzer plugin for x64dbg. Contribute to ThunderCls/xAnalyzer development by creating an account on GitHub. github.com api분석해주는 플로그인 압축풀고 setup하면 자동으로 레지스트리 등등을해줍니다 플로그인적용법 x64에는 xAnalyzer.dp64하고 apisde..

PE포맷에대해서

https://ko.wikipedia.org/wiki/PE_%ED%8F%AC%EB%A7%B7 PE 포맷 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. PE 포맷(Portable Executable)은 윈도우 운영 체제에서 사용되는 실행 파일, DLL, object 코드, FON 폰트 파일[1] 등을 위한 파일 형식이다. PE 포맷은 윈도우 로더가 실행 가 ko.wikipedia.org PE 포맷(Portable Executable)[가지고 다닐 수 있는/실행 가능] 이걸 매끄럽게 해석하면 인식가능하고 실행가능한 이걸 조금 설명을 붙이면 다른 윈도우 PC에 파일을 넣어도(인식성) 실행가능하다(실행가능성) 이게 PE포맷의뜻이다 이게 전체적인구조인데 이렇게 보면 이해가 어려울것이니 하나..

반응형