abex 3rd crackme

abex 3rd crackme

 

CreateFile function?

(https://msdn.microsoft.com/en-us/library/windows/desktop/aa363858(v=vs.85).aspx)

 

Atttibutes : 생성하는 파일의 속성을 결정

ATTRIBUTE = NORMAL
* 악성코드를 보면 HIDDEN 이 자주 확인된다 (FILE_ATTRIBUTE_HIDDEN)

Access : 권한 부분

GENERIC_READ
GENERIC_READ : 파일 읽기
GENERIC_WRITE : 파일 생성
GENERIC_READ | WRITE : 읽기/쓰기 동시 부여

FileName : 대상 파일 이름, 경로
abex.l2c

 

HANDLE WINAPI CreateFile(
  _In_     LPCTSTR               lpFileName,
  _In_     DWORD                 dwDesiredAccess,
  _In_     DWORD                 dwShareMode,
  _In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,
  _In_     DWORD                 dwCreationDisposition,
  _In_     DWORD                 dwFlagsAndAttributes,
  _In_opt_ HANDLE                hTemplateFile
);

 

 

 

GetFileSize function?

(https://msdn.microsoft.com/en-us/library/windows/desktop/aa364955(v=vs.85).aspx)

 

지정한 파일의 크기를 얻어오는 함수
대상 파일의 핸들 값 (EAX 000000A4, 파일 식별 고유 ID값)

EAX 00000000 (데이터 제로)
CMP EAX, 12 (EAX 는 abex.l2c 사이즈 값, 12 2진수를 16진수로 바꾸면 18)
JNZ = ZF 0 일때 (JN과 반대)

 

DWORD WINAPI GetFileSize(
  _In_      HANDLE  hFile,
  _Out_opt_ LPDWORD lpFileSizeHigh
);

 

 

 

즉, 파일이 존재(abex.l2c)해야되고 사이즈는 12(18byte)여야 된다

"abex.l2c 라는 파일에 알파벳 18글자 입력"

또는 조작

00401037 Registers Z1 -> Z0

00401046 EAX FFFFFFFF -> 00000012

 

 

 

- abex 3rd crackme -