해킹방어대회 문제분석 - Watch

1. 파일 실행                                                                

 

 

 

 

ü  a5a0d15d4ae8ea37884d2fb9d8a30fbfc96731f3.exe 라는 이름의 실행파일을 실행한 결과이다.

ü  스톱워치와 알람기능이 있는 시계 프로그램이 실행되었다.

 

 

 

  

2. 분석                                                                       

ü  Ollydbg 로 실행시킨 결과이다.

  

 

 

ü  시계 프로그램에서 필요 없는 VirtualAlloc, VirtualFree ( 가상 메모리 할당/해제 ) 를 해주고 있는 것을 볼 수 있다.

 

 

ü  시간을 출력하는 부분의 주소를 알아낼 수 있다.

 

 

ü  시간 출력하는 부분으로 가서 위쪽으로 조금 올려보니 위에서부터 “시, 분, 초” 로 출력하는 부분을 발견.

 

 

ü  시간을 출력하는 부분의 주소로 찾아가 들어가보니 처음에 발견한 “VirtualFree” 라는 “가상메모리해제” 부분 발견.

 

 

 

ü  위쪽으로 더 올려보니 “VirtualAlloc” 이라는 “가상메모리할당” 를 발견할 수 있었다.

 

 

 

 

ü  4와 2C (44) 가 비교해서 프로그램이 실행되는 것을 볼 수 있다.

 

 

 

 

 

ü  특정 메모리에 루프를 돌때마다 EDI 값을 1씩 증가시키는 것을 볼 수 있다.

ü  004019F8 에 BreakPoint 를 걸어주고 시스템의 시간을 오전 4시 44분으로 맞춰준 후 Run 해준다.

 

 

ü  레지스터 값을 보면 EDI에 00B05023 이 할당된 것을 볼 수 있다.

 

 

 

ü  5023바이트를 할당 해 주는 것을 볼 수 있다.

 

 

 

 

ü  BreakPoint 걸어서 Run한 결과 5023바이트를 할당 했으므로 EDI = 00CB5023 – 5023 = 00CB0000 이다.

ü  00CB0000 으로 이동한 결과 pk 로 시작하는 아스키코드값이 보인다.

 

 

 

ü  00CB5020 까지 드래그해서 압축파일로 다시 생성한다.

 

 

 

 

 

 ü  생성한 압축파일을 다시 압축해제 한 결과 prezi 라는 이름의 파일이 생성.

ü  Content.xml 을 열어본 결과 myriadpro.swf //  fertigopro.swf //  optimum-Roman.swf 라는 이름의 폰트를 사용한다는 것이 눈에 뛴다.

 

 

 

 

 

 

ü  Prezi 는 프리젠테이션 툴의 한 종류이다.

ü  Prezi 를 설치한 후 아무 프로젝트나 만든 결과이다.

 

 

 

ü  설치한 Prezi 프로그램의 fonts 디렉토리에 들어와 본 결과이다.

ü  CrimsonText.swf // OpenSans-Bold.swf // PTSans.swf 라는 이름의 폰트를 사용하는 것을 볼 수 있다.

 

 

 

ü  Content.xml 분석결과 myriadpro.swf //  fertigopro.swf //  optimum-Roman.swf 폰트를 사용하였으므로 인터넷에서 다운받은뒤 폰트 폴더에 넣어둔다.

 

 

 

 

ü  다운받은 content\data 디렉토리 안에 원래 있던 content.xml 파일을 지우고 prezi 폴더안에 있던 content.xml 파일로 바꿔준 후 실행한 결과이다.

 

 

ü  Content.xml 을 워드패드로 열어본 결과이다.

ü  “Hello?” 라는 문자 이외에 크기가 훨씬 작은 다른 문자가 또 있다는 것을 알 수 있다.

 

 

 

    

        - 확대해본 결과이다.

 

 

 

 

 

ü  Content.xml 을 다시 분석해본 결과 확대한 문자보다 더 작은 문자가 존재한다는 것을 알 수 있다.

 

 

 

 

ü  Size가 “0.*” 이기 때문에 확대한다고 해도 위치파악이 힘들다.

ü  “0.*” 로 지정된 사이즈를 “100” 으로 수정한 결과이다.

ü  Passwd옆에 이상한 문자들이 곂쳐있는 것을 확인할 수 있다.

 

 

 

 

 

ü  사이즈를 다시 원위치 시켜둔 후 Passwd오른쪽으로 확대한 결과이다.

ü  최종 PassWord : Are Y0u Trust UFO? 라는 문자를 확인할 수 있다.

 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타