ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Tut.ReverseMe1 분석
    리버싱/리버싱스러운것 2023. 5. 11. 18:42

     

     

     

    처음 키면 나오는 메시지창 확인을 누르면

     

     

     

    reg코드를 입력하는 창이있고 register now 라는 버튼과

     

     

     

     

    Nag 버튼을 누르면 나오는 메시지창 난 저게 뭔소린지 몰랐는데 맞는 reg코드와 지금 보이는 Nag Screen 창이

     

    나오지 않게 하라는 것이었다

     

     

     

    호출된 함수 목록에서 MSVB 메시지박스 스러운 함수가 4개가 있는데 그 중 하나가 저 Nag Screen 박스를 띄우는 것 이었다 즉, 맨 처음 프로그램 실행시 나오는 Nag screen 과 Nag 버튼을 누르면 나오는 메시지박스는 같은 함수를 쓴 것

     

     

    Nag 창을 띄우는 부분이 저기부터 시작인데 점프하기 전에 오리진으로 가보면

     

     

     

    요기 이렇게 있다 밑에 402C17 있죠 

     

    저 때 ESP 값이

     

    19FAB8 인데

     

     

    호출 후에 4가 줄었다, 파라미터가 4개이기 때문, 솔직히 나도 어떻게 파라미터가 4개인걸 알아낸걸까

     

    책을 계속 읽고 검색을 해봤는데 저게 맞는지 모르겠다 아니면 알려주세요

     

     

     

    뭐 아무튼 그렇다고요

     

     

     

    그래서 점프된 후(402C17) 밑의 부분을 RETN 4 리턴을 통해 실행되지 않고 그대로 리턴되게 해놓는다

     

    이렇게 하니 Nag 버튼을 눌러도 박스가 나오질 않죠 참고로 RETN 을 쓸 때 파라미터 개수만큼 숫자를 붙여줘야한답디다

     

    그래서 RETN 4 가 되는거죠

     

     

     

    그 다음에는 regcode를 찾아야하니 register 버튼을 누르면 나오는 함수 부분을 찾아줫음

     

     

    맞는 값을 쳐야되는데

     

    문자열 검색 후 Sorry 머시기가 출력되는 부분 위에 I'mlena151이라는 수상한 문자열 바로 밑에

     

    strcmp가 보인다, 문자열이 같은지 비교하는 함수인건 다들 아시죠 저게 우리가 찾던 regcode 인 것

     

     

    쳣더니

     

     

     

    됬어요

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    '리버싱 > 리버싱스러운것' 카테고리의 다른 글

    실행압축 - 194p  (0) 2023.05.30
    Abex Crack me #3  (0) 2023.05.11
    Abex Crack me #2  (0) 2023.05.10
    Abex Crack me #1  (0) 2023.05.10
    리버싱 메모장  (1) 2023.05.08
Designed by Tistory.