curation by zrungee curation by zrungee

lena 12강 @zrungee 이번에 열어볼 파일은 실행시켜보니 다음과 같은 창이 뜬다. 비정식버전이고, 시리얼을 등록하는 형태일 것이다. 이와같이 어떤 프로그램인지는 모르나, 시리얼을 등록하는 형태는 다음과 같은 방식으로 패치할 수 있다. Search for > All referenced text strings > Search for text 에서 'registration' (혹은 regist)로 검색. registration에 관한 성공/실패문을 찾았다. 첫번째. 해당 분기문으로 가서 JNZ를 NOP으로 바꾸어주는 방법과 두번째. 델파이로 제작된 파일을 분석하는 방법이 있다. 델파이로 제작된 파일은 점프문이 윗방향으로 역행하는 것이 특징이다. 점프문 아래의 MOV를 통해 알아보도록 한다. Find ..

NuMega SmartCheck http://tanosi.tistory.com/trackback/148 VB 으로 작성된 프로그램을 들여다 보기 좋은 Numega 입니다. 다운로드 링크 http://rs746.rapidshare.com/files/220706703/NuMega.SmartCheck.v6.2.RC2.rar Serial 5102 3133f7 7d Setting Lena`s Tutorial 9번 후반부에 나오는 내용이긴합니다만 동영상 들여다보기보다는 빠를듯 해서 스샷 첨부합니다. 출처 : http://tanosi.tistory.com/148

lena 강의 09 이번에 열어볼 파일은 Ollydbg로 열어 실행시키고 설치 해준다. 최종적으로 리버싱 해줄 파일은 pc2am2p_PRO가 되겠다. 마찬가지로 레지스터창이 뜨는데, 시리얼 키값을 찾아보도록 하겠다. 이 파일을 PEID로 열어보니 비주얼베이직으로 제작된 파일이며, 엔트리포인트= 019E8, Offset= 109E8. 시리얼 키를 찾는 방법은 두가지로 나뉠 수 있다. 첫번째. Ollydbg를 이용, Ctrl +N으로 API함수를 찾아준다. Visual Basic에서 제작된 파일에서는 다음과 같은 6가지 Import로 해결이 가능하다. vbaVarTstEq vbaVarTstNe vbaVarCmpEq vbaStrCmp vbaStrComp vbaStrCompVar 과 같은 6가지로 시리얼을 찾을..

lena 강의 08 이번에 분석해볼 파일은 이다. 분석할 도구는 W32dasm(디스어셈블러) , LordPE 이 tool의 소개와 사용법은 http://zrungee.tistory.com/48 , http://zrungee.tistory.com/49 에서 확인할 수 있다. 먼저 Artgem 파일을 W32dasm을 이용하여 열어본다. Disassembler > Open file to Disassemble 에서 열어주면 되겠다. 쭉 밑으로 내리다 보면, Ollydbg와 비슷하게 어셈블리코드가 나타나는 것을 볼 수 있다. 프로세스를 시작하기 전에, Debug> Debugger Options는 다음과 같이 설정해준 후 Debug > Load Process로 프로세스를 시작한다. 왼쪽 창에서 'Run'을 눌러 진..

lordPE DELUX PE라고 하는 윈도우 하에 실행되는 모든 실행파일의 헤더(프로그램이 실행될때 전체 프로그램 구조의 미니맵과 같은 역할을 하는 것을 PE라고 한다.) 를 읽어들여서 분석하고, 손상된 PE가 발견되었을경우 Rebuild해주는 막강한 기능을 가지고 있다. 출처 : http://pmguda.com/251

W32dasm (디스어셈블러) Ollydbg와 같은 기능을 하는 디스어셈블러. Disassembler > Open file to Disassemble 에서 파일을 열 수 있다. 가장 많이 쓰이는 아이콘을 살펴보자. 여기서 손전등 표시가 있는 세 번째 아이콘이 Search 기능이다. 주로 원하는 문자열을 찾을 때 사용한다. PEP라고 적힌 아이콘은 EP(프로그램의 첫실행주소)로 이동시켜 주는 것이다. cdLoc라고 적힌 것은 원하는 주소로 이동할 때 쓰인다. ImpFn은 임포트된 함수를 보는 기능이다. ExpFn은 익스포트된 함수를 보여준다. MenuHex는 메뉴를 보여준다. DlgRef는 다이얼로그 문자열을 보여준다. StrnRef는 프로그램에 사용된 스트링을 보여준다. 그리고 실제로 디스어셈블 된 화면..

lena 강의 07 @zrungee 이번에 열어볼 파일을 OllyDbg로 실행시킨다 제일먼저 맨 위의 'Unregistered'가 보인다. 다음으로, About > Register 에서 계정과 라이센스 넘버를 입력하고 등록해본다. 잘못된 계정이나 라이센스넘버를 입력했다고 뜬다. 이 창을 이용해서 라이센스 등록이 가능할 것 같다. OllyDbg창에서 Search for > All referenced text strings로 해당 문자열을 찾아보도록 하겠다. 다음과 같이 찾은 해당 스트링을 더블클릭 해준다. 1) "Thank you for registering!"으로 넘어가는 조건문인 JNZ가 보인다. 이부분을 무조건 점프할 수 있도록 JMP로 변경시켜준다. 또는 2) 에서 Register Now버튼을 누르..

lena 강의 06 @zrungee 이번 파일은 이다. OllyDbg로 열어서 실행시켜보자. 실행하자마자 이런창이 뜬다. 아니 이게뭐람.. OllyDbg에서 Search for > All referenced strings > Search for texts로 검색해본다. (이때 범위는 전체범위) 찾아서 CPU모드로 되돌아와보니 JE SHORT pcsurgeon~~~~ 이부분이 보인다. "Unable to start performance monitoring"이 뜨지 않도록 JE를 NOP처리해준다. 그랬더니 이번에는 이런창이 뜬다. 같은 방법으로 찾아가보니 해당 스트링을 찾을 수 있었다. 바로 윗줄에는 JNZ로 되어있고 ZF가 0이 아닐경우, 해당스트링이 있는 창이 뜨도록 되어있다. 그렇다면 주소값 '004B..