[Reverse Engineering] CodeEngn Basic RCE L06 WriteUp

📞 CodeEngn Basic RCE L06 WriteUp

1.  문제 확인 후 파일 다운로드

 

 

 

++ OEP(Original Entry Point) 란?

 OEP는 "Original Entry Point"의 약자로, 주로 패킹(packing)된 악성 코드나 압축된 코드의 특정 부분에서의 원래 실행 지점을 의미한다.

 패킹은 악성 코드를 감추고 탐지를 피하기 위해 실행 파일을 압축하는 기술로, 이러한 경우 실행 파일은 일반적으로 정상적인 실행 흐름을 따르지 않을 수 있다.

 이때 OEP는 보안 분석가나 리버스 엔지니어가 악성 코드의 동작을 분석하고 이해하는 데 도움을 주며, 악성 코드의 실제 기능을 분석하고 대응하는 방법을 개발하는 데 도움을 줄 수 있다.

2.  반디집을 통해 파일 압축 해제  -->  06 파일 속 응용 프로그램 발견

3.  05 응용 프로그램 더블 클릭하여 실행한 후 Check Serial 버튼 클릭  -->  아래와 같은 팝업창을 확인

4.  파일 정보 수집을 위해 Detect It Easy 를 통해 파일 오픈  -->  파일이 UPX 형식으로 패킹되어있음을 확인

 

++  아직 Detect It Easy 를 설치하지 않았다면?

-->  https://www.majorgeeks.com/

MajorGeeks.Com - MajorGeeks

5.  패킹된 상태인 06 파일에 대하여 언패킹 진행

 

++  UPX 패킹된 파일 언패킹하기

-->  https://alim11.tistory.com/456

[UPX Un/Packer] UPX 패킹된 파일 언패킹하기

6.  언패킹된 06 파일을 Immunity Debugger 로 오픈  -->  OEP 주소는 00401360임을 확인

7.  마우스 우측 버튼 클릭 후 'Search for' 선택  -->  'All referenced text strings' 클릭

8.  문자열 중 Serial 로 보이는 문자열 "AD46DFS547" 을 발견

9.  다시 06 파일을 실행시킨 후 위에서 발견한 Serial을 입력  -->  문제가 해결되었음을 확인

 

++ 분명 문제에서는 OEP 주소와 Serial 키를 합하여 입력하라고 했는데, Serial 키만 입력해도 문제가 해결되었다.