리버스 엔지니어링 문제풀이 2

RE03.exe의 key값은 레지스터에 저장되어 있어서 Resourse Hacker와 ollydbg를 사용하거나 Procmon.exe라는 파일을 통해 레지스트리의 위치를 알고 regedit을 통해 알아보는 방법으로 찾을 수 있다. 두 가지 서술해 보겠다.

 

 

다음과 같은 프로그램인데 RE02.exe와 같이 Resourse Hacker를 이용해서 Is this Right? 이벤트 버튼의 값을 보면 1001이고 이를 Hex로 바꾸면 3E9. Memory window에서 .rdata를 통해 dump 뜬 창에 little endian 방식으로 나열하면 'e9 03 00 00 e9 03 00 00'를 이용하여 RE02.exe와 같은 방식으로 풀면 된다. 다소 이상하지만 간단하고도 야매적인 방법으로도 풀 수 있는데 마우스 오른쪽 버튼 -> Search for -> User-defined comments 외의 여러 가지 방법을 이용하여 보면 상당히 의심스러운 문구가 있다. ‘H3r31sth3k3y’이라는 값이 있는데 key값이다... 이 값을 넣으면 다음과 같이 Congratulation! 이라는 문구가 뜨면서 성공을 알 수 있다.

 

 

 

두 번째 방법은 Procmon.exe라는 프로세서 모니터를 이용하는 방법이다. RE03.exe key값이 레지스터에 들어 있기 때문에 이 방법을 이용할 수도 있다. Procmon.exe을 켜 보면 수많은 정보가 나오는데, 레지스트리 외의 정보를 없애기 위해 다음 부분에서 첫 번째를 제외한 모든 버튼을 해제한다.

 

그리고 Filter에 들어가서 RE03.exe의 레지스트리 정보만을 보기 위해 조건을 다음과 같이 걸어준다.

 

조건을 걸고 RE03.exe 파일을 실행하면서 보다보면 상당히 수상해 보이는 부분이 보이게 된다. 그러면 regedit을 키고 수상한 부분의 주소를 따라가 보면 RE03 폴더 하위 폴더로 secret이 있는 것을 볼 수 있다. 그 곳을 보면 ollydbg에서 봤던 key 값과 같은 값을 얻을 수 있다. 다음과 같다.