zj3t

email: euntaejang@gmail.com

Latest Posts

CodeEngn-RCE basic9

By 오전 1:08 ,


IDA로 켰을 때 UPX팩킹 되어 있는 것을 확인 후 언팩킹



언팩킹 후 Ollydbg로 열어 본 결과 훔쳐진 바이트가 있다는 것을 알수 가 있다.
OEP가 0040100C로 설정되어 있는데 훔쳐진 어셈블리중 0040100C로 점프시키는 진짜 OEP가 있을 것이라 예상할 수 있다.

UPX언팩킹 후 프로그램 시작하였을 때 표시, 정상적으로 언팩킹 되지 않았음을 추측할 수 있다.

원래의 언팩킹전 09.exe 코드를 ollydbg로 보았을 때 0040100C로 점프시키는 코드를 확인 할 수 있으며 자세히보면 POPAD 아래 Stack으로 PUSH를 하는 3줄의 코드가 보이는데 그리고 PUSH한 상태 그대로 OEP로 이동하는 모습을 볼 수 있다. 즉, 원래 코드가 실행될 때 Stack에 올라가 같이 실행되는 저 3줄이 바로 StolenByte 이다.


You Might Also Like

0 개의 댓글