reversing.kr

Reversing

[Reversing.kr] HateIntel

찾아보니 맥 os 에서 동작하는 바이너리 파일이었다. https://en.wikipedia.org/wiki/Mach-O 마침 맥을 쓰고 있어서 실행해보려 했는데 확장자를 아무리 바꾸고 터미널에서 실행하려 시도했으나 실행되지 않았다. pe 구조를 보니 ios 인 것을 알 수 있었다. 마침 또 아이폰이라.. 실행해볼까 하다가 혹시나하는 위험에 하지 않고 정적 분석을 하기로 했다. 맥 아이다로는 왜 또 안 열리는지 아휴 윈도우 가상머신을 사용했다. correct 부분을 바로 찾았다. 어떻게 동작되는지 코드를 봐야 할 것 같아서 윈도우로 온 김에 처음으로 디컴파일 기능을 사용해봤다. 텍스트 모드로 봤을 때 계속 호출되었던 2224 함수이다. 232C 함수를 호출하고 입력한 키 값의 길이만큼 반복하여 byte_3..

Reversing

[Reversing.kr] Ransomeware

문제가 주어졌다. 3개의 파일이 있다. 먼저 run.exe 파일 패킹 정보를 확인했다. upx로 패킹되어 있는 것을 알 수 있다. run.exe 파일을 언패킹 했다. 왼 : 언 패킹 전 오 : 언패킹 후 미묘한 차이가 있다. 그냥 file이 있길래 먼저 에디터로 열어봤다. 왠지 암호화가 되어있는 것 같다. 전에 풀었던 문제가 이런 비슷한 문제가 있었는데, 정상 파일 시그니처에 리소스를 바꾸는 게 생각났다. exe 파일을 복호화 하라고 했으니 exe 파일인 것 같다. 파일을 exe로 바꾸고 pe 정보를 봤는데 나오지 않았다. 아무래도 시그니처가 암호화 되어있어서 그런 듯 복호화를 해보자 upx 로 run.exe가 패킹되어있었으니 얘도 upx일까 싶다. 우선 세부 함수를 보자. 문자열은 이렇게 필터링 되어있..

chimita
'reversing.kr' 태그의 글 목록
상단으로

티스토리툴바