컴알못에서 컴잘알까지

Reversing.kr의 문제 AutoHotkey1입니다. 문제 파일을 다운로드 받아보면 readme.txt와 ahk.exe가 있습니다. readme.txt를 열어보면, 정답을 인증하는 형식에 관해서 설명을 해주고 있습니다. md5 복호화를 해서 문자열을 만드는 것 같네요. ahk.exe를 실행시켜보면, 입력하는 칸이 있는데 아무 숫자나 입력을 하고 OK를 눌러보니 바로 프로그램이 종료됩니다. PEID로 파일의 정보를 확인해보겠습니다. UPX 패킹이 되어있네요. 언패킹을 해주고 실행시켜보면.. "EXE corrupted"라는 문자열이 출력되고 확인 버튼을 누르면 종료됩니다. 검색을 해보니 컴파일 후 변조가 되면 이 문자열을 띄운다고 합니다. 이제 언패킹을 하지 않은 원본 파일을 올리디버거로 분석해보겠습니..

Reversing.kr의 문제 Direct3D FPS입니다. 문제 파일을 실행시켜보면, 고구마 몬스터들을 총으로 쏴 죽이는 게임입니다. 올리디버거로 분석해보겠습니다. "Game Clear"라는 문자열이 있는 곳으로 가보니 이상한 문자열이 있네요. 고구마 몬스터를 조금 잡아보니, 문자열이 조금 달라졌습니다. 아마 필드 안에 있는 모든 고구마 몬스터들을 잡으면 이상한 문자열이 성공 문자열로 바뀌는 것 같네요. 문자열을 복호화해주는 부분을 찾기 위해서 이상한 문자열에 하드웨어 BP를 걸고 고구마 몬스터를 조금 잡아보았습니다. 위가 바로 복호화를 해주는 부분입니다. 하지만 이상한 문자열과 XOR 연산을 하는 CL의 값을 알 수가 없기 때문에, 0103427에서 CL이 값을 받아오는 메모리 주소에 하드웨어 BP를..

Reversing.kr의 문제 Ransomware입니다. 문제 파일을 다운로드 받아보면, run.exe, readme.txt, file이라는 이름의 파일들이 있습니다. readme.txt 파일을 열어보니.. "복호화 한 file은 EXE 형식의 파일이다."라고 써있는 것 같습니다. run.exe를 실행시켜보겠습니다. 어떤 나쁜 사람이 파일을 암호화했다네요. 먼저 PEID로 run.exe 파일의 정보를 보겠습니다. UPX로 패킹이 되어있네요. 올리디버거로 열어서 직접 진짜 코드가 있는 곳으로 가서 분석해보겠습니다. 윗부분은 반복문을 돌며 암호화된 파일을 읽어오는 부분입니다. 윗부분은 입력 받은 key값을 이용해서 암호화된 파일을 복호화하는 부분입니다. 복호화하는 방식을 정리하면 파일에서 한 바이트씩 가져와..