리버싱 연습
abex crackme5
시리얼 타파

abex crackme5를 풀어보려고 한다.
시리얼을 입력해서 확인하는 메시지박스가 뜨는 간단한 프로그램이다.

아무거나 입력했더니 아니라고 한다.

올리디버거로 따라가 보려고 한다.

윈도우 메시지폼이 뜨는 것으로 보아서 vc등으로 개발 된 것 같기도 하다.
어셈으로만 이루어진 것 같다.

윈도우 메시지폼이 뜨고, Check 버튼이 있는 것을 보아 버튼이 눌렸을 때 무언가를 해 주는 이벤트 핸들러 함수에 검사하는 내용이 있을 것이라고 추측 할 수 있다.

올리에서 find all strings를 통해 틀렸을 때의 메시지와 맞았을 때의 메시지를 push하는 주소를 찾을 수 있었다.
따라가면 바로 위에 점프 분기문이 보이고, strcmp함수를 호출한 것으로 보아 텍스트창에 있는 문자열과 어떤 문자열을 비교해서 점프하는 것 같다.

점프만을 패치하는 것보다 본 분석에서는 실제로 맞춰야 하는 시리얼을 찾고자 함이므로 위로 올려본다.

위로 올렸을 때 함수의 프롤로그로 보이지는 않지만 시작지점이 보이고, 분기문도 보인다.

이 곳으로 점프를 뛰는 곳으로 올라갔을 때 call을 볼 수 있다.
DialogBoxParam 함수를 호출하는 것으로 보아 이 위치 자체가 윈도우 메시지박스의 이벤트 핸들러 함수인 것 같다.
항상 반복해가며 호출과 switch문(또는 if문)을 거쳐가며 각 메시지에 따라서 함수를 호출하거나 아무것도 하지 않게 된다.

실제로 bp를 걸고 실행하게 되면 창을 건들기만 해도 bp에 걸리게 된다.

다시 분기문쪽으로 와서,
65랑 비교해서 점프하지 않을 땐 리턴하는 곳으로 간다.
점프했을 때, 아래에서 GetDigItemText 함수를 호출하는데, 텍스트박스에서 문자열을 가져오는 함수인 것 같다.

메시지박스의 이벤트가 65일 때(Check 버튼을 누르는 이벤트일 때) 메시지박스의 문자열을 가져오게 한다.

GetDigItemText 함수를 호출한 뒤 GetVolumeInformationA 함수를 호출하는데, 이 함수는 하드드라이브의 정보를 가져온다는 함수라고 한다.
이 정보를 가져와서 시리얼에 반영하는지는 아직 모르겠다.

그 아래쪽은 좀 웃긴데, 갑자기 문자열을 복사한다. strcat로.
0040225c위치에 "4562-ABEX" 라는 문자열을 붙이게 한다.

처음엔 저 위치에 아무것도 없다가,
strcat 함수를 호출하고 나서 문자열이 붙여진 것을 알 수 있다.

그 아래에선, 반복문같이 보이는 곳이 있다. 시리얼을 만드는 주요 루틴중 하나일 것이다.
DL에 2를 복사하고, 40225c, 40225d, ... 에 1을 add하는 연산을 한다.
그 이후에 DL을 1 감소시키고 연산의 결과가 제로일 때 점프를 하지 않게 되면서 점프문을 빠져나간다.

근데 저 주소는 방금 문자열을 붙인 주소가 아닌가..?
반복문을 한 번 실행시켰을 때 차례로 add 연산을 하면서, "4562-ABEX"문자열의 1~4번째 문자의 아스키코드 값이 1 더해져서 4562 -> 5673으로 변한 것을 볼 수 있었다.

한번 더 실행시키면 6784가 되어야 할 것이다.
실제로 그렇게 실행이 된다.
반복문이 두 번 실행되는동안 DEC DL이 두 번 실행되면서 2에서 0이 되었고, 반복문을 빠져나오게 된다.
반복문을 나오면서 "4562-ABEX"는 "6784-ABEX"가 되었다.

그 아래부터 위와 비슷한 형태가 반복되는 듯이 보이는데, 빠르게 넘어가보겠다.
두 번째 strcat 호출 전에 아까의 "6784-ABEX"와 위의 "L2C-5781"이라는 문자열을 push하고 strcat 함수를 호출한다. 아마 두 문자열을 합치는 것 같다.

두 문자열이 합쳐진 결과는 두 번째로 넣었던 00402000주소에 들어가게 되었다.
스택에 인자가 들어가는 순서를 역으로 생각하면 될 것 같다. 첫 번째 인자에 복사해 주는 strcat 함수.
이어진 문자열의 위치가 00402000인것을 dump화면에서 확인할 수 있음과 동시에, 내가 넣은 문자열인 "abcd1234"를 push하는 것이 보인다.
내가 넣은 문자열과 방금 이어붙인 문자열을 push하고 strcmp 함수로 비교하는 것으로 보인다.
그 아래에선 비교한 결과값을 통해 맞았을 때나 틀렸을 때의 메시지박스를 띄우게 분기문과 메시지박스를 호출하는 곳이 다시 보인다.

이어붙인 문자열이 시리얼이라는 것을 알 수 있었다.

다시 실행시켜서 마지막에 이어붙인 시리얼을 입력했을 때 맞는것을 확인할 수 있었다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

scanf와 scanf_s

마이크로소프트 사에서는 자주 사용하는 개발 IDE인 Visual Studio에서 scanf 사용을 권하지 않는다. 하위 버전에서는 경고를 띄우지만 최상위 버전에서는 SDL(security development lifecycle) 검사가 체킹 되어 있어 비주얼 스튜디오에서만 지원하는 scanf_s를 사용하지 않으면 오류가 뜨게 되어있다. scanf_s()는 문법은 scanf()와 다를게 거의 없다. 그러나 문자열을 입력받는 서식문자 %s를 사용할 땐, 저장할 문자열 뒤에 최대 문자열 입력 개수를 인자로 한 개 더 넣어주어야 한다. 1 2 char name[10]; scanf("%s", name); cs 이전 scanf 사용이 이랬었다면, 1 2 3 #define MAX_LEN 10 char name[MAX_LEN]; scanf_s("%s", name, MAX_LEN); cs scanf_s를 사용해야 할 때 이런 식으로 인자를 한 개 더 추가해 주어야 한다. 참고로 비주얼 스튜디오에서 scanf_s를 사용할 때 문자열 입력을 받는 때에 문자열 길이를 지정해 주지 않아도 문법 오류가 뜨지 않는데, 실행했을 때는 오류가 난다. 문법 오류가 나지 않아도 문법 오류이다. 이는 오묘한 문법때문인데,  scanf_s를 이렇게 사용할 때의 케이스가 있기 때문이다. 1 2 3 4 5 #define MAX_LEN 10 char name[MAX_LEN]; int grade; int age; scanf_s("%s %d %d", name, MAX_LEN, &grade, &age); cs 문자열을 입력 받을 ...
자세한 내용 보기

레나 리버싱 Tut.ReverseMe1 풀이 1

이미지
리버싱 핵심원리(소위 나뭇잎책)에서의 레나 리버스미 문제 풀이를 책을 따라가 보며 풀어보았다. 분석은 책에서 쓰인 올리디버거를 사용하였다. Tut.ReverseMe1 문제는 처음에 Nag Screen이라는 박스가 뜨고 확인을 누르면 다음 창이 뜬다. 이게 다음 창인데, 여기서 Regcode를 맞춰서 Register me 버튼을 누르는 비밀번호 문제인 것 같다. Nag Screen 메시지창의 뜻은 모든 Nag?를 삭제(무시)시키고 올바른 registration code를 찾아라는 뜻이다. 메인 창에서도 Nag?버튼을 누르면 다시금 Nag Screen창이 뜨게 된다. 우선 책도 그렇고 문제에서 요구하는 것도 그렇고 Nag창을 없애기 위해 Nag창 부터 찾아봐야겠다. 버튼들이 있는 윈도우 폼인것을 봤을 때 버튼을 눌렀을 때 행동하게 되는 버튼 리스너 등의 처리가 있을 것이다. Nag?버튼을 눌렀을 때 Nag메시지 창이 떴던 것을 생각하면, 어떤 메시지 박스를 띄우게 하는 함수들이 있을 것이다. Search for - All intermodular calls 에서 찾아보았다. 모듈 Tut.ReverseMe1의 함수 콜 목록에서 rtcMsgBox함수를 호출하는 곳이 4군데 보인다. 4군데 다 bp를 걸어두고 Nag? 버튼을 눌러보자 bp를 건 곳중에 한군데에서 걸렸다. 이 어셈이 있는 곳에서 Nag 메시지 박스를 띄우게 하는 내용들이 있을 것이다. 좀 위를 봐보자. Nag 메시지 창에서 보았던 문자열 내용들이 있다. 이곳이 Nag 메시지를 띄우는 곳인것을 확정할 수 있다. 좀 더 올려보면 이곳 자체도 함수로 되어있는 것을 볼 수 있다. 단순히 Nag메시지 박스를 띄우지 않게 하려면 rtcMsgBox함수를 호출하지 않게 하면 된다. 함수 호출 부분을 다시 보면, 함수 호출 이후 스택을 따로 정리하지 않는 모습을 볼 수 있다. 이를 보면 함수의 호출 규약은 stdcall방식인 것을 볼 수 있다. ...
자세한 내용 보기

리버싱 연습

이미지
c++ 클래스를 간단하게 만들었다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 #include   < iostream > class  Data { public :     Data();     ~Data();      int   &   operator [] ( int  n)     {          return  data;     }      void   operator =  ( int  data)     {          this - > data  =  data;     }      const   int  initialized_num()     {          return ...
자세한 내용 보기