정보보안/침해사고 대응&분석
리버싱 분석연습 - time.exe
ITtechRoy
2014. 9. 10. 23:54
|
“time.exe” 화면
그림 1‑1 “time.exe” 파일을 실행한 화면이다. 좌측 상당에 보면 원이 그려져 있는 것을 볼 수 있다. 그림 3-1 에서 임의의 KEY 를 입력하면 그림 1-2 에서 보이는 화면과 같이 우측 상단으로 이동하는 것을 확인할 수 있다. 캡쳐화면상으로는 표현하기 힘들지만 처음 좌측 상단에 있던 원은 KEY 를 입력하면 우측상단으로 빠르게 이동하는 것을 볼 수 있다.
|
그림 1‑3 time.exe 실행화면
그림 1‑4 time.exe 실행 후 KEY 입력
|
|
|
|
“Ollydbg” 화면
|
그림 1‑5 “all strings referenced text strings” 기능을 이용하여 문자열 부분만 찾은 결과이다. 00401095 주소값을 보면 “TITLE” 이라는 아스키코드값을 볼 수 있다. 그림 1-5 에서의 실행화면을 보면 “TITLE” 이라는 문자열을 볼 수 있다. 00401095 주소값 부분이 실행화면에서의 문자열인 것으로 판단된다.
그림 1‑5 Text 문자출력
|
|
|
|
“Ollydbg” 화면
|
그림 2-6 주소값 0040100 부터 0040110A 부분까지의 화면이다. “TITLE”이라는 이름의 실행화면이 다른 함수를 호출하여 실행하는 것을 확인할 수 있다.
그림 2‑6 분석
|
|
|
|
“Ollydbg” 화면
|
그림 2-7 주소값 00401110 부터 00401234 까지의 화면이다. 주소값 0040120D 를 보면 “Timeout = 7. Ms” 부분에서 시간값을 확인하는 것으로 판단된다.
그림 2‑7 분석
|
|
|
|
“Ollydbg” 화면
|
그림 2-8 주소값 0040120D 의 PUSH 7 값을 PUSH 3E7 ( 10진수 999 )값으로 변경했다. 그림 2-9 저장 후 실행한 결과이다. 알 수 없는 오류가 발생하는 것을 확인했다.
그림 2‑8 속도 999 로 수정
그림 2‑9 오류
|
|
|
|
“Ollydbg” 화면
|
그림 2-10 주소값 0040120D 의 PUSH 7을 PUSH 64 ( 10진수 100 ) 으로 변경한 결과이다. 변경한 값을 저장 후 실행하면 화면은 그림 2-3 그림 2-4 와 같지만 속도가 천천히 이동되는 것을 확인할 수 있다.
그림 2‑10 속도 100 으로 수정
|
|
|
맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타