zj3t

email: euntaejang@gmail.com

Latest Posts

CodeEngn-RCE basic9

By 오전 1:08 ,


IDA로 켰을 때 UPX팩킹 되어 있는 것을 확인 후 언팩킹



언팩킹 후 Ollydbg로 열어 본 결과 훔쳐진 바이트가 있다는 것을 알수 가 있다.
OEP가 0040100C로 설정되어 있는데 훔쳐진 어셈블리중 0040100C로 점프시키는 진짜 OEP가 있을 것이라 예상할 수 있다.

UPX언팩킹 후 프로그램 시작하였을 때 표시, 정상적으로 언팩킹 되지 않았음을 추측할 수 있다.

원래의 언팩킹전 09.exe 코드를 ollydbg로 보았을 때 0040100C로 점프시키는 코드를 확인 할 수 있으며 자세히보면 POPAD 아래 Stack으로 PUSH를 하는 3줄의 코드가 보이는데 그리고 PUSH한 상태 그대로 OEP로 이동하는 모습을 볼 수 있다. 즉, 원래 코드가 실행될 때 Stack에 올라가 같이 실행되는 저 3줄이 바로 StolenByte 이다.


,

About the Author

Lorem ipsum dolor sit amet, cotur acing elit. Ut euis eget dolor sit amet congue. Ut vira codo matis. Sed lacia luctus magna ut sodales lorem.

You Might Also Like

0 개의 댓글