CodeEngn Basic RCE 11
-
CodeEngn Basic RCE 11$ 리버싱 $/CodeEngn Basic RCE 2019. 5. 6. 13:50
파일의 OEP와 Stolenbyte를 찾는것이 문제 입니다. OEP는 main함수가 시작되는 가장 맨처음의 주소를 의미하고, Stolenbyte는 원래 있어야 하는 코드가 없을때 그부분의 시그니처를 이야기 합니다. 파일을 한번 보면 UPX 파일 입니다. UPX -d 파일명 명령어를 쳐서 언팩을 하면 언팩된 파일이 나옵니다. 먼저 언팩 하지 않은 파일을 먼저 확인해 보겠습니다. 역시 PUSHAD가 있는 것으로 보아 팩 되어 있는 파일입니다. F8을 한번 눌러서 넘어가시면 다음과 같이 ESP가 수정 되어있습니다. 우클릭후 Follow in Dump를 클릭하시면 해당 주소의 hex값의 Dump로 가게 됩니다. 위의 사진 같이 해당 hex가 가르키는 곳으로 bp가 걸리게 되고 F9를 눌러서 이동합니다. 이동하게..