[Reverse Engineering] CodeEngn Basic RCE L07 WriteUp

🔕 CodeEngn Basic RCE L07 WriteUp

1.  문제 확인 후 파일 다운로드

 

2.  7-Zip File Manager 을 통해 파일 압축 해제  -->  07 파일 속 응용 프로그램 발견

 

3.  07 응용 프로그램 더블 클릭하여 실행한 후 Check 버튼 클릭  -->  아래와 같은 팝업창을 확인

4.  07 실행 파일을 Immunity Debugger 로 오픈

5.  마우스 우측 버튼 클릭 후 'Search for' 선택  -->  'All referenced text strings' 클릭

6.  문자열 중 Serial 로 보이는 "4562-ABEX" 와 "L2C-5781" 발견

7.  로컬 디스크 파일명을 CodeEngn으로 바꾼 뒤, 07 파일을 Immunity Debugger 로 실행

 

8.  마우스 우측 버튼 클릭 후 'Search for' 선택  -->  'All intermodulat calls' 클릭

9.  00401099 주소에서 Volume의 정보를 가져오는 함수 발견

10.  원본 코드에 GetVolumeInformationA 가 위치한 주소로 점프하는 코드 추가

11.  상단에서부터 F8 키를 통해 코드 실행  -->  문자열을 변경시키는 반복문 발견

12.  HxD 프로그램으로 CodeEngn 문자열의 코드 변화 추적  -->  문제의 정답은 "EqfgEngn" 임을 확인

 

++  CodeEngn 문자열의 변화와 발견한 정보 정리

코드	문자열
43 6F 64 65 45 6E 67 6E	CodeEngn
44 70 65 66 45 6E 67 6E	DpefEngn
45 71 66 67 45 6E 67 6E	EqfgEngn

# 발견한 Serial들
: 4562-ABEX
: L2C-5781

# CodeEngn 문자열의 최종 변화형
: EqfgEngn