올리 디버거
단축키


올리 디버거 단축키

[ctrl + f2] : 프로그램 재실행

[f7] : step into (한 줄 실행, call문에서 함수 안을 따라감)

[f8] : step over (한 줄 실행, call문에서 함수를 실행하고 다음 줄로 넘어감)

[f9] : step until stop (break point가 나오기 전 또는 프로그램이 멈추는 분기점까지 실행)

[ctrl + f9] : step until return (return이 나올 때까지 실행)

[;] : 주석(코멘트) 작성/수정

[:] : 라벨 작성/수정

[Enter] : 점프문 따라가기

댓글

댓글 쓰기

이 블로그의 인기 게시물

리버싱kr easy_Keygen 풀이 2

이미지
이전까지 이름을 넣었을 때 이름을 넣은 것을 어떤 루틴을 통해 시리얼 값으로 변해 메모리에 저장되고, 그 값과 시리얼을 정확히 맞추면 풀린다는 것을 깨달았다. 게싱과 실험이 난무한 풀이였지만 일단 작성해 보도록 하겠다. 이름에 1234를 넣었을 때의 시리얼 값은 21120324였다. 어떠한 규칙이 있을 지 일단 이름을 1111을 넣고 다시 실행시켜 보자. 시리얼까지 입력받고 난 뒤의 실행문이다. 시리얼이 저장되는 위치는 따로 바뀌지 않았으며, esp + 74의 위치를 덤프창을 통해 본 결과 0019FE7C  32 31 31 31 30 31 32 31 00 00 00 00 00 00 00 00  21110121........ 시리얼  값은 "21110121"인 것을 볼 수 있다. 아직 어떠한 규칙인지 잘 모르겠을 수 있다. 1111을 넣고 다시 실행하여 시리얼을 입력받기 전, 반복문을 한 번 돌려보았다. 시리얼 값이 들어가는 주소에 32 31, 즉 "21"이 들어가 있는 모습을 볼 수 있다. 단순 추측으로 한 문자당 두 문자로 바뀐다면, 시리얼의 길이는 문자열의 길이 * 2일 것이다. 루틴 부분을 좀 크게 봐보자. ecx와 edx를 사용해 시리얼을 만드는 연산을 하는 것 같고, 반복문에서 문자열의 위치 인덱스를 증가시키는 것을 esi와 esp를 사용하는 것으로 보인다. 그리고 xor연산을 통해 ecx, edx를 xor을 하고 ecx의 값을 스택에 넣은 뒤 어떤 함수를 호출한다. ecx가 가진 카운터와 ebp를 비교해 jl인 동안 반복문을 실행한다. 레지스터 창을 보면 ebp의 값은 1인 것을 볼 수 있다. ebp의 원래 값을 백업해 두고 카운터로 사용하는 것을 볼 수 있다. 추측으로, '1'을 반복문을 한 번 거치고 나서 '21'이 되었다고 하자. 1을 어떻게 연산해서 연산 결과를 그대로 두 바이트로 쪼개...
자세한 내용 보기

리버싱 연습
abex crackme 2 -3
시리얼 핵심 루틴

이미지
abex crackme2를 풀 수 있는 방법은 정해져 있지 않다. 시리얼을 알아낼 수 있는 방법 정도로 풀 때, 비교할 시리얼이 어떻게 만들어지는지 핵심 루틴이 궁금했다. 시리얼이 어떻게 만들어지는지는 조금 분석 따라가기가 버겁다. 리버싱 핵심원리에서 읽었고, 읽어본 대로 책을 이후에 보지 않고 따라가 보았다. 버튼 이벤트 리스너 함수에서 내리다보면 Name 필드에 입력한 값을 복사하는 명령어가 있다. 그 아래에도 Name 필드의 값을 복사하고 VbaVarMove 함수를 호출한다. 아래에 자주 호출되는 VbaVarMove 함수는 무슨 내용인지 자세히 모르겠다. 조금 더 디버깅하면 VbaLenVar 이라는 함수가 나오는데 함수 호출 전에 4를 Local.53에 복사하는 것을 볼 수 있다. VbaLenVar은 문자열의 길이를 구하는 함수 같았다. 그대로 디버깅 해 따라가 보았다. VbaLenVar의 함수 모습 처음의 함수 프롤로그와 TlsGetValue 등의 함수를 출력하는 곳까지는 의미 없어 보인다. 사실 뭐 하는 내용인지 확실히는 모르겠다. 위의 캡처 사진에서 Eax에 있는 Name 필드의 값이 들은 주소를 스택에 한 번 더 넣고 내부에서 함수를 한 개 더 호출한다. 호출된 함수의 모습이다. 사실 잘 모른다고 했던 호출 부분들에서 이미 문자열의 길이를 구했었나보다. 유니코드로 된 문자열이 할당된 길이가 구해진? 위치는 Eax - 4였고, Eax에 그 값을 복사해 왔을 때 0xA였다. 그 다음에 오른쪽으로 1비트 쉬프트 연산으로 0x5가 되었고, 이는 유니코드의 문자열이 잡아먹는 길이가 2비트씩 되기 때문에 char 형 문자열 길이(실제 문자만의 길이)를 구하기 위해 shift 연산을 한 것 같다. abcde는 61 00 62 00 63 00 64 00 65 00으로 저장되어 있을 것이고, 차지하는 공간이 10인데 실제 문자열의 길이는 5니 1비트 쉬프트 연산을 해서 값의 1/2를 ...
자세한 내용 보기

[C/WINAPI] 인터넷 파일 다운로드

인터넷에 있는 파일을 다운로드 받을 수 있는 코드를 짜 보았다. wininet.h 헤더에 있는 함수들로, 인터넷 검색을 통하여 예제들을 시험해 보며 짰다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 #include  "Winfiledown.h" int  downloadFile( const   char   *  server,  const   char   *  filename) {     HINTERNET hinet, hurl;     DWORD  size , readsize;     TCHAR  * buffer;     FILE  *  wfp;     hinet  =  InternetOpen( "HTTPS" ,         INTERNET_OPEN_TYPE_DIRECT,          NULL ,          NULL , ...
자세한 내용 보기