abex 3rd crackme
CreateFile function?
(https://msdn.microsoft.com/en-us/library/windows/desktop/aa363858(v=vs.85).aspx)
Atttibutes : 생성하는 파일의 속성을 결정
ATTRIBUTE = NORMAL
* 악성코드를 보면 HIDDEN 이 자주 확인된다 (FILE_ATTRIBUTE_HIDDEN)
Access : 권한 부분
GENERIC_READ
GENERIC_READ : 파일 읽기
GENERIC_WRITE : 파일 생성
GENERIC_READ | WRITE : 읽기/쓰기 동시 부여
FileName : 대상 파일 이름, 경로
abex.l2c
HANDLE WINAPI CreateFile(
_In_ LPCTSTR lpFileName,
_In_ DWORD dwDesiredAccess,
_In_ DWORD dwShareMode,
_In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,
_In_ DWORD dwCreationDisposition,
_In_ DWORD dwFlagsAndAttributes,
_In_opt_ HANDLE hTemplateFile
);
GetFileSize function?
(https://msdn.microsoft.com/en-us/library/windows/desktop/aa364955(v=vs.85).aspx)
지정한 파일의 크기를 얻어오는 함수
대상 파일의 핸들 값 (EAX 000000A4, 파일 식별 고유 ID값)
EAX 00000000 (데이터 제로)
CMP EAX, 12 (EAX 는 abex.l2c 사이즈 값, 12 2진수를 16진수로 바꾸면 18)
JNZ = ZF 0 일때 (JN과 반대)
DWORD WINAPI GetFileSize(
_In_ HANDLE hFile,
_Out_opt_ LPDWORD lpFileSizeHigh
);
즉, 파일이 존재(abex.l2c)해야되고 사이즈는 12(18byte)여야 된다
"abex.l2c 라는 파일에 알파벳 18글자 입력"
또는 조작
00401037 Registers Z1 -> Z0
00401046 EAX FFFFFFFF -> 00000012
- abex 3rd crackme -
'공부 > 콤퓨타' 카테고리의 다른 글
malware(fping.exe) (0) | 2015.10.28 |
---|---|
악성 도메인 구별법 (0) | 2015.10.28 |
IDA + OllyDbg (0) | 2015.10.27 |
Cheat Engine (0) | 2015.10.27 |
abex 1st crackme (0) | 2015.10.26 |