목록전체 글 (346)
보호되어 있는 글입니다.
891점으로 합격했다. 왜 합격했는지 모르겠는데 안전하게 찢었다. 클라우드 공부하기 전 흐름 익히기 위해서 자격증을 따고 싶었다. 뭔가 자격증 따면 공부가 더 하고 싶어 질 것 같았다. 공부방법 https://www.examtopics.com/ Free Exam Prep By IT Professionals | ExamTopics ExamTopics The only source for free & accurate actual exam questions & answers, passing your exam easily is guaranteed, and for free! www.examtopics.com 해당 사이트에 존재하는 137문제 dump만 달달 읽었다. 사이트 들어가면 댓글로 사람들이 풀이과정에 대해 ..
![](http://i1.daumcdn.net/thumb/C200x200/?fname=https://blog.kakaocdn.net/dn/bH7Nlg/btshCd8Qo4i/NbI4ainlTBc8ubyA29Qom0/img.png)
약 3개월 동안 게시글을 올리지 않았다. 공부를 쉰게 아니라 프로그래머스 문제를 풀고 있었다. 이직을 위해 혹시 모를 코테를 준비하고 있었다. 내가 원하는 나의 모습은 보안, 개발 두 개의 지식을 겸비한 만능 개발자이다. 너무 보안만 공부에 몰두하고 개발을 놓치고 있다고 생각했다. 현재 나의 목표는 이직 전까지 프로그래머스 LV2단계 이상의 모든 문제를 푸는 것이다. 꾸준히 풀고 있는 중이다. 갈 길이 멀다. 지금 당장은 알고리즘 공부에 몰두하고 보안은 취미로 공부할 예정이다. 남들은 이런 게 재밌냐 물어보지만 문제를 해결할 때 행복하고 알아가는 재미가 쏠쏠하다.
![](http://i1.daumcdn.net/thumb/C200x200/?fname=https://blog.kakaocdn.net/dn/cxRIQr/btrYqAbYHvl/7Xk4uvrh0IvFhJp13LOlq1/img.png)
문제가 너무 힘들었다. 남은 군생활의 일수가 점점 늘어난다. upx로 패킹이 되어있다. 언패킹 해준다. 안티디버깅을 우회해 준다. bp를 걸고 MessageBoxW함수에 도착했다. ebp에 일수가 쌓인다. ebp와 어떤 값을 비교하는지 찾아주어야 한다. 모든 조건문을 탐색했다. eax에 우리가 원하는 값이 담겨있다. 답 : 2DACE78F80BC92E6D7493423D729448E 다른 사람들의 풀이를 보면 패치하고 덤프를 만들어서 Exe2Aut 프로그램을 사용했다. 자동으로 버튼을 넘길 수 있었다.
![](http://i1.daumcdn.net/thumb/C200x200/?fname=https://blog.kakaocdn.net/dn/mqPaE/btrYluPmZGK/DfToTyzc6DPLP6C3fv2LN0/img.png)
패킹이 되어있지 않다 바로 디버거에 올린다. 문자열을 검색해서 의심가는 부분을 분석했다. 문자열 비교 함수를 찾았다. 내가 입력한 값과 비교값을 인자로 넣는다.
![](http://i1.daumcdn.net/thumb/C200x200/?fname=https://blog.kakaocdn.net/dn/2aM0l/btrX3sZ9BhV/7Hn5uQfMBeL7xdEkO0uRek/img.png)
pcap파일을 스구일로 replay 진행했다. 리다이렉트 이벤트 발생 후 악의적인 코드 다운 exe,dll 파일 다운 및 안티 디버깅이 적용되어 있는 이벤트다. redirect 185.189.14.112 JS,EXE 213.136.26.180 C&C 94.198.98.20 client 104.4.26.101 악성 IP에 도메인들이 존재한다. xplico를 통해 도메인 주소 정보를 확인 301 상태값으로 리다이렉트 하는 것을 알 수 있다. 해당 url로 이동 url이동 후 다시 정보를 확인하니 php로 이동하는 모습이다. 해당 다운로드 버튼을 누르면 다른 웹사이트로 이동된다. jgen.php로 이동된다. 해당 주소로 정보를 찾는다. 마이너에서 관련된 파일을 발견했다. 해당 파일을 열어보았다. var uuu..
![](http://i1.daumcdn.net/thumb/C200x200/?fname=https://blog.kakaocdn.net/dn/Ncy62/btrXv30BcVK/YMjA5tiPbgocJKzqOIm3S0/img.png)
이번에도 키젠문제 확인할만한 데이터는 없었다. 네임과 시리얼을 입력하고 확인한다. 코드가 암호화되어있었다. xor al,25를 통해 다시 복호화하는 과정이다. 복호화가 끝나고 이동한 후의 위치가 OEP이다. 문자열을 통해 검색하면 분기문이 보인다. 이번에도 strcmp를 통해 비교를 한다. 0x403104의 문자열을 입력해 준다.