CodeEngn(Basic) crackme9 풀이

코드엔진 크랙미9 풀이입니다. 한동안 글이 없었네요 ^~^

keyfile을 확인하기 위해 확인 버튼을 누르라네요

파일이 없으니 확인을 못 합니다.

어 근데 이것도 UPX로 패킹된 프로그램이네요. abex' crackme라길래 다를게 없을줄 알았는데

언패킹한 뒤 다시 디버깅해봤는데 이번엔 앞부분이 NOP로 도배돼있네요 ..?

아마도 이번 문제인 StolenByte와 연관이 있나봅니다. 자세한 내용은 따로 구글링해주세요 *^^*

간략히 말하자면 패킹되는 과정에서 패커가 코드를 이동시키는 몇 개의 명령어 .. 정도로 생각하면 되겠습니다

따라서 저기 NOP 로 뒤덮인 부분이 우리가 찾는 StolenByte겠죠

그런데 UPX 에서는 마지막 JMP 이후 나오는 POPAD 부분이 Stolenbyte라고 합니다.

이부분이겠죠? 마지막에 BP 걸고 실행시켜보면

옆에 문자열이 나오네요! 고로 우리가 찾던 StolenByte가 맞습니다.

위 MessageBoxA 함수에만 들어갈 내용이 저 위에 NOP 부분에 들어가면 되므로 StolenByte는 주소 0040736E 부터 주소 00407375 까지의 명령어를 입력하는 게 답입니다.

간단.. 한가요 StolenByte가 뭔지 몰라서 한참 헤맸는데 ㅎㅎ;

 

2019.4.8