lena 8강

lena 강의 08

이번에 분석해볼 파일은 이다.

 

분석할 도구는 W32dasm(디스어셈블러) , LordPE

이 tool의 소개와 사용법은 http://zrungee.tistory.com/48  , http://zrungee.tistory.com/49 에서 확인할 수 있다.

 

 

먼저 Artgem 파일을 W32dasm을 이용하여 열어본다.

Disassembler > Open file to Disassemble 에서 열어주면 되겠다.

 

 쭉 밑으로 내리다 보면,

Ollydbg와 비슷하게 어셈블리코드가 나타나는 것을 볼 수 있다.

 

프로세스를 시작하기 전에,

Debug> Debugger Options는 다음과 같이 설정해준 후

Debug > Load Process로 프로세스를 시작한다.

 

왼쪽 창에서 'Run'을 눌러 진행한다.

프로그램이 실행된다.

수정해줘야할 부분 첫번째가 되겠다.

이부분은  스트링 검색을 이용한 패치방법을 여러번 포스팅 했기 때문에 생략하도록 하겠다

 

 본격적인 프로그램창이 뜬다..

근데 왜 이렇게 뜨는지 원인을 찾지 못했다 ㅠㅠ....

다시 실행하니 제대로 돌아왔다^^

이부분은 Register부분에서 Key-Code를 등록하는 부분인데, 지난번 lena강의에서와 같이 임의로 입력해보니

에러창이 발생했다. 

 이부분을 Ollydbg에서 스트링검색으로 찾았던 것과 같은 방식으로

위치를 찾아서 수정해주어야 할 것 같다. 수정할부분 2번째.

 

방식은 Ollydbg보다 쉽다

 

Search > Find Text 에서 Invalid Key를 찾아준다

 위로 올려 관련된 부분을 찾자.

 

  

점프문을 발견했다. '00438578'에서 이부분으로 점프했으므로 해당 주소값으로 가보자.

바로 윗줄에서 eax와 eax를 테스트하고 call문이 보인다. 이부분을 F2로 BP를 걸어준 후,

 아까의 Register 창에서 Key-code를 입력해서, 어떻게 진행되는지 확인한다.

 위의 CALL문에서 F7로 함수안으로 들어가주면

 

eax가 어떻게 이루어지는 지 나와있는 부분을 찾기 위해 F8로 쭉 진행해준다. (빨간부분은 F8로 지나갔다는 의미)

jne문을 지나가면서 다른 분기문으로 점프한다.

 

이부분에서 eax를 서로 xor연산 해서, 조건에 해당하면 아까의 'Invalid Key!'를 출력하도록 되어있다.

여기에서 , 정확한 eax의 값을 모르기 때문에 nop처리 해주면 된다.

 

 

 

          

이제 RUN을 눌러 진행한 뒤 ArtGem프로그램에서 확인해보면 Register에 성공한 모습이 보인다. 패치성공!

 

이제 LordPE를 이용해, hex값을 저장할것이다.

 

 

 LordPE를 열고, PE Editor에서 ArtGem파일을 열어준다.

 

이러한 창이 뜨는데, 여기에서의 Offset값은 W32Dasm에서 확인할 수 있다.

 

VA = 434D92 , Offset = 34D92

 

 

 

여기에서 33 C0을 90 90으로 변경시켜준다 ( 90은 NOP)

그런 뒤 save 를 눌러 새로운 파일로 저장시켜준 뒤 실행하면 Register창이 없어지는 것을 볼 수있다.

출처 : lena 강의 08