본문 바로가기

전체 글68

질문지.doc #Lazarus IOCs MD5: BCC12E4C20895DFC52160013AECF76C0 SHA256: 5B81F8F1208D2DFCCB4DD6946102B61AD8F220C7B1C0A80F7BE3CA23E6E59B3E File name: 질문지.doc File type: DOC File size: 84,480bytes 악성코드 분석 DOC 문서 내부는 북한 관련 내용 매크로 실행을 위한 '콘텐츠 사용' 관련 알림 창 ⇒ 문서 내부에 매크로가 존재 VBS #1 가장 먼저 실행되는 Document_Open 함수 조건(실행되고 있는 파일 이름, VBS 이름)에 부합하면 분할된 데이터를 조합 조합된 데이터는 BASE64 인코딩 데이터 내부 복호 함수를 이용하여 데이터를 디코딩 디코딩된 데이터는 또 다른 VBS 악성코드는 .. 2023. 12. 12.

[Reversing.kr] 4번 Music Player 4번 Music Player 1분만 재생해주는 MP3 Player 해당 루틴을 찾아 1분 이상 재생 후 flag를 찾아야한다 음악 파일을 재생시키면 1분 재생과 함께 메세지 박스를 출력 → 메세지 박스 출력 함수를 찾아보자 메세지 박스를 출력하는 함수 rtcmsgbox 4개 발견! 전부 BP 걸어서 실행해본다 첫 번째 rtcmsgbox 얘가 1분 미리듣기만 가능하다는 메세지를 출력한다 → 이 위에 코드에 1분 체크하는 루틴이 있을 것 같다 맨 위 부분에서 1분을 체크한다 EA60 = 60000ms = 60s 이 부분에서 1분이 아니면(eax 2023. 2. 14.

[Reversing.kr] 3번 Easy Unpackme 3번 Easy Unpackme 함께 압축되어 있던 txt 파일 OEP를 찾아야 한다 * OEP, Original Entry Point: 실행 프로그램의 실제 시작 위치 패킹된 파일은 자체적인 언패킹 과정을 통해 필요한 함수 정보를 가져온다 그래서 암호화된 코드를 풀어서 특정 메모리 공간을 꼭 사용한다 언패킹 과정 중 virtualprotect 함수를 이용 * VirtualProtect : 메모리 영역의 실행 권한을 변경 해당 함수 수행이 끝나면 원래 코드 OEP로 갈 수 있다 언패킹 (또는 복호화) 코드가 끝나고 원래의 코드로 점프한다 이 부분이 entry 함수 프롤로그(prolog) 함수의 시작 부분 「 push ebp mov ebp, esp 」 함수 영역 설정을 위해 새 함수가 호출(시작)되면 이전 .. 2023. 2. 14.

[Reversing.kr] 2번 Easy Keygen 2번 Easy Keygen main 함수 (0x401000) 우선 main 함수를 잘 봐보자 0x10, 0x20, 0x30을 각각 esp+10, 11, 12에 저장하는 중 처음 입력받은 name (Yunjeong)을 12FE20에 저장해뒀다 해당 루프에서 name과 xor 키 연산을 통해 serial num을 생성하고 있다 더 자세히 보면 (아래) [esp+esi+10]에는 0x10, [esp+ebp+10]에는 59 (내가 입력한 name의 첫 글자: Y=59), 0x10 ^ 59(= 49)는 [esp+74]에 저장한다 이렇게 입력받은 name 한 바이트씩 0x10, 0x20, 0x30와 xor 연산을 수행하여 serial num을 구하는 중 계산되어 저장된 serial num. (내가 입력한 name .. 2023. 2. 13.

[Reversing.kr] 1번 Easy Crack 1번 Easy Crack winmain 함수 DiaLogBoxParamA : 다이얼로그 박스를 만드는 API 네 번째 인자 DialogFunc은 다이얼로그 박스에 대한 프로시저 주소가 존재 DialogFunc에 패스워드 인증 루틴을 호출하는 함수(sub_401080) 존재 401080(DialogFunc)으로 이동 후 실행하면 나타나는 패스워드 입력창 해당 함수 부분에서 패스워드를 검사하여 "congratulation !!" 혹은 "Incorrect Password" 문자열을 출력한다 패스워드 입력창에 임의 패스워드 Password를 입력하고 진행 GetDlgItemTextA : dialog box의 제목 또는 텍스트를 검색 해당 함수의 세 번째 인자에 저장됨 Password가 저장되어 있다 입력받은 패.. 2023. 2. 9.

이전 1 ··· 5 6 7 8 다음

티스토리툴바