[Reversing.kr] 3번 Easy Unpackme

3번 Easy Unpackme

 

 

ReadMe.txt

함께 압축되어 있던 txt 파일

OEP를 찾아야 한다

 

  * OEP, Original Entry Point: 실행 프로그램의 실제 시작 위치

 

 

 

패킹된 파일은 자체적인 언패킹 과정을 통해 필요한 함수 정보를 가져온다
그래서 암호화된 코드를 풀어서 특정 메모리 공간을 꼭 사용한다

 

 

 

언패킹 과정 중 virtualprotect 함수를 이용

  * VirtualProtect : 메모리 영역의 실행 권한을 변경

 

해당 함수 수행이 끝나면 원래 코드 OEP로 갈 수 있다

 

 

 

언패킹 과정 끝부분

언패킹 (또는 복호화) 코드가 끝나고 원래의 코드로 점프한다

 

 

 

entry 진입

이 부분이 entry

 

 

함수 프롤로그(prolog)

함수의 시작 부분
「 push ebp 
   mov ebp, esp 」

함수 영역 설정을 위해 새 함수가 호출(시작)되면
이전 함수의 ebp 주소를 젤 먼저 스택에 쌓는다 (push ebp)

그런 다음 현재 함수 ebp 설정을 위해 mov ebp, esp 수행

 

* EBP: Extended Base Pointer, 스택의 가장 바닥
  ESP: Extended Stack Pointer, 스택의 가장 위

 

 

 

GetVersion, GetCommandLineA 함수 호출

visual studio로 컴파일한 코드의 특징. CRT(C Run Time) 코드, stub code라고도 한다

 

  * stub code : 컴파일러가 임의로 추가하는 코드로, 프로그램 실행에 필요한 정보를 얻어온다

 

  * GetVersion: 버전 가져오기

    GetCommandLineA : 현재 프로세스에 대한 명령줄 문자열 검색

 

 

 

아무튼!

OEP = 401150