ImagePrc
Exeinfo PE Analysis 그림을 그릴 수 있고, Check 버튼을 누르면 올바른 그림인지 확인하는 프로그램인 듯 하다. Wrong을 띄우는 문자열을 역참조해서,Wrong을 띄우는 메시지 박스를 호출하는 주소에… 더 보기 »ImagePrc
reversing.kr
Replace
Exeinfo PE 패킹되어있지 않다. 아무 패스워드를 입력하고 “Check” 버튼을 누르면 충돌이 발생한다. 한번 분석해보자. Analysis 단순히 충돌 원인에 대해서만 살펴보자면, 1234를 입력하고 Check 버튼을 눌렀을때60160A9D… 더 보기 »Replace
Twist1
ReadMe.txt Twist1.exe is run in x86 windows. 32비트 윈도우에서만 실행 가능하다 ExeInfo PE 알려지지 않은 프로그램으로 패킹되어있는 것 같다. 디버깅을 통해 하나씩 살펴보자. Analysis (Packed)… 더 보기 »Twist1
Ransomware
readme.txt Decrypt File (EXE) By Pyutic Exeinfo PE UPX로 패킹되어있다. 정적분석을 위해 언패킹해보자. Decompiled-src main main 함수의 프롤로그 쪽을 살펴보면 위와 같은 명령어, 쓸모없는 더미… 더 보기 »Ransomware
Easy Unpack
ReadMe.txt ReversingKr UnpackMe Find the OEP ex) 00401000 Solution OEP란 Original Entry Point로, 패킹된 파일의 실제 프로그램 시작 부분을 의미한다. 디버깅하다보면 OEP 지점을 찾을 수 있다.jmp… 더 보기 »Easy Unpack
CSHOP
Exeinfo PE C# .NET언어로 컴파일되어있다. Decompiled-src InitializeComponent 함수를 확인해보면 btnStart 버튼의 사이즈가 new Size(0, 0);,즉 너비와 높이가 0으로 되어있어서 보이지 않는다. 만약에 그 버튼을 찾아서… 더 보기 »CSHOP
HateIntel
File arm 아키텍처 iOS에서 돌아가는 실행 파일이다. sub_2224 사용자로부터 입력받은 key를 sub_232C에서 변환 과정을 거쳐 __s[i] != byte_3004[I]에서 각각 한 문자씩 확인한다. sub_232C 각 문자의… 더 보기 »HateIntel
Easy_ELF
File 32비트 리눅스용 실행파일 하나. Decompile main sub_8048451() 함수에서 true를 반환시켜야 된다. sub_8048451 일부 문자는 XOR 연산하고 각각의 문자를 확인한다. Solution 자세한 설명은 생략한다..