리버싱 강좌

Themida로 패킹된프로그램 언패킹할때 올리 디버그 툴 옵션설명

2012-02-01T07:47:19+09:00

1.Advanced Anti-Debugger

이 기능은 올리디버그 같은 디버킹툴을 패커에서 감시해서 뜨면 바로 프로그램종료나 메세지를 띄우는 옵션입니다. 기본옵션중 한개입니다.

2.Anti Dumper

이 기능은 언팩을 시도할시 중요한 OEP, 그 주변부분을 손실을 시켜놓거나 Add Section기법으로 언팩을 해야만 가능하게 하는옵션입니다.

3.Entry Point Obfuscation

이 기능은 OEP코드를 읽기 어렵게 함을 통해 역공학(reverse engineering)을 통한 공격을 막기 위한 목적을 가지고 있습니다.

4.Resources Encryption

리소스를 암호화시키는 기능입니다.(효율이 떨어지는 옵션입니다.) 기본옵션중 한개입니다.

5.VMWare/Virtual PC

이 기능은 VMWare와 Virtual PC은 윈도우나 리눅스 안에 또 하나의 OS를 설치할수 있게하는 즉, 가상머신이라고 하죠. 저 프로그램을 사용해서 OS켯을때도 중복실행이 가능하게 하는 옵션입니다. 기본옵션중 한개입니다.

6.Advanced API-Wrapping

이 기능은 간단히 말하면 언팩할때 IAT복구를 필요하게 하는 옵션입니다. 즉 패커자체에서 자신이 따로 Section을 만들어 그쪽으로 전부 함수를 옮겨서 언팩할시에는 따로 복구하도록 만들게 하는것이죠. 상당히 짜증나는 옵션중 한개입니다.

7.Virtual Machine Emulation

이 기능은 아까 5번에서 언급했듯이 가상머신에 관련된 옵션입니다.
이 옵션은 가상머신에서도 실행이 가능하게 하는 옵션입니다.기본옵션중 한개입니다.

8.Metamorph Security

이 기능은 파일이 강제로 변형되는것을 보호하는 옵션입니다.
기본옵션중 한개입니다.

9.Memory Guard

이 기능은 레지스터를 보호하는것이죠. 수정시 메세지나 강제 종료됩니다. 이것은 기본옵션인지는 잘모르겠네요.

10.Delphi/BCB Form Protection

이 기능은 말 그대로 Delphi/BCB로 짜여진 프로그램의 Form을 보호하는것입니다. 기본옵션중 한개입니다.

이 외에 2개가 더 있는데 불필요하다고 생각하기에 생략하겠습니다.

그리고 Advanced Option입니다.

1.Encrypt Application

이 기능은 응용프로그램을 암호화시키는것인데, 제 생각으로는 더 심화적으로 패킹시키는것 같습니다.

2.Protect as DLL Plugin

이 기능은 DLL을 패킹할때 필요한 옵션인것 같네요.

3..Net assemblies

이 기능은 안그래도 뜯기 힘든 닷넷으로 짜여진 프로그램을 더욱 더 심화적으로 암호화시키는 옵션입니다.

4.Last Section Name

이 기능은 패킹시 Section이름을 넣는것입니다.

쓸모없는 기능 1개가 더 있는데 그것은 넘기겠습니다.

그 외에 Themida는 띄우는메세지에 대해 내용도 바꿀수 있고 기능이 참 많더군요.

아무튼 Themida에는 이렇게 많은 옵션이 있습니다.

제가 이때까지본 패커중에서는 가능많은 옵션을 가진 패커인듯합니다.

예전에 올라 왔던 자료인데 초보들님께 필요할것 같아서 다시 올립니다.

패킹된 프로그램 확인 하는방법과 확인후 언패킹 하는방법좀 알려주세여

2012-01-29T00:37:20+09:00

안녕하세요 올리디버거로 함수값을 수정하려고 하는데

패킹 되어서 함수 값이 파일이 열리지 않더라구요

제가 아직 정확히 몰라서 peid 라는 프로그램으로 패킹 되어 있는지 확인하려고 봤떠니

not pound 라고 뜨면서 확인이 되지 않더라구요

자문좀 구할께요 고수님들 언패킹 하는 프로그램과 패킹되어있는 프로그램 확인할때 어떡해 해야 하는지

자세히 설명좀 해주세요 ,

제가 지금 게임도 즐기고 있는데 궁금해서 게임 파일이 패킹 되어있어서 언패킹 하려고 하는데 안되서 이렇게

글을 올려봅니다

고수님들 도와주세여

제가 언패킹 하려고 하는 파일 올려 놓을테니 자문좀 부탁드립니다.

언패킹 하는 방법 자세히 알려주실분 010 5047 3566 으로 연락좀 주세요 ㅠㅠ

아니면 글로 자세히 설명좀 해주세여

파일올려 놓을께여

도전해보세요 크랙미 1번

2012-01-26T00:33:06+09:00

자작 크랙미 1 입니다.

난이도 중하?
안티디버깅 X
패킹 O

crake11.exe

패킹이 되있어서 쪼~끔 어려울수도 있습니다
그래서 노패킹 버전도 같이 올립니다.

no_crake11.exe

혹시 위의 다운링크가 잘못되었으면 http://seestory.tistory.com/42 링크에서 받아보세요

exe올리기전에 바이러스 검사

자 당신의 실력을 보여주세요

(답은 비밀댓글로....)

Duelist CrackMe 1번 ver.SelfKeyGen

2012-01-17T10:51:16+09:00

키젠은 기존 키생성 루틴을 이용하여 새롭게 만드는것이 일반적이다.

But, 이미 존재하는 키생성루틴을 이용하면 귀찮은 과정(프로그래밍)을 벗어나 좀더 쉽게 이용할 수 있다.

Duelist Crackme1번 문제를 이용해 설명하도록 한다.

함수 GetDlgItemTextA는 Dialog Box에 존재하는 Edit Box에 기록된 문자열을 읽어들이는 역할을 한다.

Push 24(36) :: Hex(Dec)

최대 36자까지 읽어온다.

XOR 연산을 통해 EAX값은 0이 되었다.(eax초기화)

버퍼값이 0인지 확인하며 0이아니라면 1씩 증가시켜 다시 검사를 한다.

(문자열의 마지막인지 확인하는 작업)

만약 0이라면 분기를 통하여 다음 작업으로 넘어갈 것이다.

문자가 들어있다면 하위의 코드를 실행하게 되어있는데

이 코드가 키를 생성하는 코드이다.

실제로 문자열을 넣고 입력해보았다.

XOR을 하는 주소에는 분명 입력한 값이 들어있었다.

입력한 값을 3번 XOR하여 키를 생성하는 것이다.

3가지의 메세지박스가 존재하는데,

문자열이 끝나고나면 CMP EAX,0으로 비교를 하여 문자열이 입력되었는가를 판별한다.

문자열이 입력되지 않았다면 첫번째 메세지박스를 출력한다.

첫번째 메세지박스이래에 존재하는 함수는 문자를 비교하여 참,거짓을 판별하는 함수이다.

따라서, 이 함수에 의해 이후 어떤 메세지박스를 출력할지 결정하게 된다.

------------------------------------------------------------------------------------

키젠만들기

유저가 입력한 키값을 XOR로 암호화 하여 비교하여 참,거짓의 여부를 정한다

-> 즉, 원문은 이미 XOR로 암호화 되어있다.

->복호화 할 수 있다.

XOR의 암호는 한번더 XOR를 거치면 복호화가 가능하다.

유저에게 보여지는 인터페이스가 필요하다.

오류문이 출력되는 부분을 이용할 수 있다.

원본

수정후

문자열이 끝났는가의 여부

XOR의 부분을 수정해줄 필요가 있다.

출력부분에 나타나게 해준다.

원본

수정후

에러메세지대신 키값이 나타나게 된다.

HAVU's CRACK ME 2

2011-12-18T22:34:24+09:00

이번 크랙미는 약간의 난이도가 있습니다.

**댓글에 정답은 쓰지 말아주세요ㅠㅠ**

HAVU's CRACK ME 1

2011-12-18T22:31:46+09:00

솔직히.. 올리기에도 창피한 크랙미 입니다.

널리고 널린 크랙미와 그 강좌들 때문에 강좌가 없는 새로운 크랙미를 원하신다면?

**댓글에 정답은 쓰지 말아주세요ㅠㅠ**

얜 어떻게 리버싱을 해야 할까? -2-

2011-11-05T08:18:12+09:00

댓글로 해답을 찾아보자 2탄입니다. 우선 1탄 자료화면은

구용. 올리디버거의 intermodules calls와 함수들을 좀 알아야 했습니다. 중요한건 자신의 프로그램 영역을 벗어나지 않고(다른 import 함수나 시스템 dll내부) 자기 프로그램안에 브레이크가 걸리도록 해야 한다는 것이죠. 물론 다른 함수들을 타고 찾아 들어가서 다 분석하면 좋겠지만 ^^; 자리를 찾은 다음에는 Name 입력 후 __vbaVarCmpNe 함수가 호출되었을 때 Stack에서 파라미터로 넘어온 Serial을 확인하시면 됩니다.

다음 문제 나갑니다. 어떻게 풀어야 할까요?

얜 어떻게 리버싱을 해야 할까?

2011-11-05T00:53:29+09:00

댓글로 답을 찾아보자 1탄 입니다.

흠... 궁금점이 생겼습니다.

얜 팝업도 없고 문구를 찾아도 특이점이 없는데...

고쳐야 할 곳을 어떻게 찾아야 할까요?

ㅠㅠ

-----

DLL을 이용한 함수 후킹 기법

2010-01-11T04:04:27+09:00

게시판에 글을 바로 쓰려니까...

내용이 많고 예제랑 소스폴더까지...

같이 합치다보니 그냥 PDF파일로 제작해서...

같이 올려봅니다.

참고로 글쓴이 Saber라고 써져 있는데

그 Saber는 저의 또다른 닉네임입니다 -ㅅ-

DLL을 이용하여 함수후킹의 원리 -

콜문이나 점프문에서의 나오는 주소값의 원리등을 실어보았습니다.

그리고 그냥 올리디버그로 직접 수정하면 되지 - 뭐하러 이렇게

복잡하게 DLL을 이용하느냐 라는 말을 하냐면

일단 지금은 간단한 함수라 올리디버그로 수정하면 금방이다. 그러나

새로 설정해야 할 함수의 내용이 많다면... ?

어셈블리코딩과 C언어 코딩의 차이점은 많이 있지만 코드의 양도 있다는 것이다. -

그에따라 .. 만약에 함수의 내용은 변경된점은 없는데 다른 부분이 수정되서 빌드되어서

나온다면!? 아마도 올리디버그로 주소값들을 다시 찾아서 처음부터 코딩해줘야 할것이다.

하지만 이러한 DLL기법을 쓴다면 단순히 DLL을 후킹해서 연결시켜주고.

바껴진 주소값만 변경시켜줘서 다시 컴파일 하면? OK~!! 라는 것이다.

S/W 테스트 분류(화이트박스 테스팅, 블랙박스 테스팅)

2009-11-20T12:46:11+09:00

S/W 테스트 분류

블랙박스 테스팅 : 소스코드가 없는 경우

화이트박스 테스팅 : 소스코드가 있는 경우

예를 들어서 개발자가 소프트웨어를 하나 만들었다고 합시다 ^^

아주 간단한 패스워드 인증 프로그램입니다 -_-;; 그림은 넣어야겠는데 딱히 넣을게 없어서 넣어봤습니다..;;

만약 개발자가 3년이 지난 후 이 프로그램이 어떻게 돌아가는지 본다면 어찌해야 할까요?? 이미 소스 코드가 존재하므로 소스코드를 보면서 로직의 흐름을 확인해 보겠죠??

위와 같은 경우는 화이트박스 테스팅 일까요? 블랙박스 테스팅 일까요? 당연히 소스코드를 가지고 있고 소스코드를 토대로 로직의 흐름을 점검해 보므로 화이트박스 테스팅이 됩니다.

그러면 여기서 문제입니다~!

집에서 띵가띵가 놀고있던 Ezbeat이 해당 프로그램을 보고 분석을 해보기위해 디버거로 프로그램을 테스팅 해보기 시작합니다.

당연히 소스는 모르겠죠??^^

이 때 Ezbeat이 해보는 테스팅은 블랙박스 테스팅 일까요?? 화이트박스 테스팅 일까요??

정답은 일요일 쯤에 올려드리겠습니다. 나름대로 유추에서 댓글로 달아주세요~ ^^

(공부하다가 나온 용어라 모르시는 분들을 위해 재미나게 꾸며보기위해 문제 아닌 문제로 만들어보았습니다)

=========================

정답은 화이트박스 테스팅입니다.

소스코드 없이 테스팅 되기 때문에 블랙박스 테스팅이라고 많이들 생각 하셨겠지만, 제품을 역어셈블하여 어셈블리코드를 보면서 제품의 흐름을 테스팅 하므로 화이트박스 테스팅입니다.

결국 어셈블리도 소스코드이기 때문이죠?? ^^ 저도 처음에 이 문제를 들었을 때 블랙박스 테스팅이라고 생각했지만..아니었습니다~!

오목프로그램(못둘것이 없다)

2009-11-16T11:35:35+09:00

안녕하세요 눈팅Pdm1n입니다.

눈팅벗어날려고 열심히 글씁니다.-_-ㅋ

오목프로그램 ...

상황: 오목판 다른곳을 클릭하면 "바둑판을 벗어났습니다" 문자열 출력

그럼 생각해볼수있음
if(x < 0 || x > BOARD_x-1 || y < 0 || y > BOARD_t-1 )
{

push 바둑판 벗어남 "바둑판을 벗어났습니다."

}
안벗어났으므로 아래루틴
if (바둑알이 없는지확인)
{

없으면 바둑알놓는다
}
else
{
놓지않는다
}

문자열 추적
004036E9 |> 51            PUSH ECX
004036EA |. 8BCC          MOV ECX,ESP
004036EC |. 896424 30     MOV DWORD PTR SS:[ESP+30],ESP
004036F0 |. 68 14924000   PUSH EJEOmok.00409214
004036F5 |. E8 982B0000   CALL <JMP.&MFC42.#537>

offset 4036F0의 push 00409214를 덤프해보면 바둑판을 벗어났습니다. 문자열 확인

그럼 004036E9로 내려온곳을 올라가면 안벗어난 루틴 발견가능성있음 올라가봄
004036E9 |> 51            PUSH ECX       //참조:Jumps from 004034B9, 004034C2, 004034CA, 004034D3
004036EA |. 8BCC          MOV ECX,ESP
004036EC |. 896424 30     MOV DWORD PTR SS:[ESP+30],ESP
004036F0 |. 68 14924000   PUSH EJEOmok.00409214
004036F5 |. E8 982B0000   CALL <JMP.&MFC42.#537>

올라갈곳은 Jumps from 004034B9, 004034C2, 004034CA, 004034D3 4군대 즉
if(x < 0 || x > 보더_x-1 || y < 0 || y > 보더_y-1 )

이부분을 생각해볼수있음

004034B7 |. 85C9          TEST ECX,ECX
004034B9 |. 0F8C 2A020000 JL EJEOmok.004036E9
004034BF |. 83F9 12       CMP ECX,12
004034C2 |. 0F8F 21020000 JG EJEOmok.004036E9
004034C8 |. 85D2          TEST EDX,EDX
004034CA |. 0F8C 19020000 JL EJEOmok.004036E9
004034D0 |. 83FA 12       CMP EDX,12
004034D3 |. 0F8F 10020000 JG EJEOmok.004036E9

올라가면 이런 루틴이 존재... 이조건의 만족하면 아래 루틴으로 흐름

004034D9 |. 8D04C9        LEA EAX,DWORD PTR DS:[ECX+ECX*8]
004034DC |. 8D1C0A        LEA EBX,DWORD PTR DS:[EDX+ECX]
004034DF |. 8D0443        LEA EAX,DWORD PTR DS:[EBX+EAX*2]
004034E2 |. 8B9C86 C80400>MOV EBX,DWORD PTR DS:[ESI+EAX*4+4C8]
004034E9 |. 85DB          TEST EBX,EBX
004034EB |. 8D8486 C80400>LEA EAX,DWORD PTR DS:[ESI+EAX*4+4C8]
004034F2      0F85 D3010000 JNZ EJEOmok.004036CB                     ; 빈돌인지 확인 하는 루틴임

1.바둑판 안인지확인
2.바둑판 안에 마우스위치의 돌이있는지확인
3.돌이없으면 돌을놓음

1.바둑판 안인지확인,
-----------------------------------------------
004034B7 |. 85C9          TEST ECX,ECX
004034B9 |. 0F8C 2A020000 JL EJEOmok.004036E9 //바둑판을 벗어났다는 내용 루틴
004034BF |. 83F9 12       CMP ECX,12
004034C2 |. 0F8F 21020000 JG EJEOmok.004036E9//바둑판을 벗어났다는 내용 루틴
004034C8 |. 85D2          TEST EDX,EDX
004034CA |. 0F8C 19020000 JL EJEOmok.004036E9//바둑판을 벗어났다는 내용 루틴
004034D0 |. 83FA 12       CMP EDX,12
004034D3 |. 0F8F 10020000 JG EJEOmok.004036E9//바둑판을 벗어났다는 내용 루틴
-------------------------------------------------
2.바둑판 안에 마우스위치의 돌이있는지확인
--------------------------------------------------
004034D9 |. 8D04C9        LEA EAX,DWORD PTR DS:[ECX+ECX*8]
004034DC |. 8D1C0A        LEA EBX,DWORD PTR DS:[EDX+ECX]
004034DF |. 8D0443        LEA EAX,DWORD PTR DS:[EBX+EAX*2]
004034E2 |. 8B9C86 C80400>MOV EBX,DWORD PTR DS:[ESI+EAX*4+4C8]
004034E9 |. 85DB          TEST EBX,EBX
004034EB |. 8D8486 C80400>LEA EAX,DWORD PTR DS:[ESI+EAX*4+4C8]
004034F2      0F85 D3010000 JNZ EJEOmok.004036CB                     ; 빈돌인지 확인 하는 루틴임
------------------------------------------------------------
4034F2를 nop해주면 상대방이 논 돌에 나의 돌을 놓을수있음;;;
오프라인 오목프로그램 AI컴퓨터가 너무잘해서 공부해본 내용...
즉 어떤 오목이던 바둑이던 if(x < 0 || x > 보더_x-1 || y < 0 || y > 보더_y-1 )
이루틴을 찾는다면 모든게 만사오케임
다른게임은 바둑돌이 있다는 표시를 메시지비프음같은걸로 하니...
비프음을 추적하면 되겠음...~

재미있는 공부였음 :D

출처: Pdm1n blog:http://pdm1n.tistory.com 재블로그임 ㅠ.ㅠ

총알피하기 최종목표도달..(총알맞아도 안죽기:일명무적)

2009-11-16T11:33:27+09:00

안녕하세요 눈팅Pdm1n입니다.

눈팅벗어날려고 열심히 글씁니다.-_-ㅋ

총알피하기 총알맞아도 안죽는걸 해보고싶어서 공부용으로 분석하였습니다.
대상:벫뗗(plane.exe)
죽는 루틴분석
-----------
위와 같이 수정하면 비행기가 총알을맞아도 안죽습니다.

죽은 다음 뿌려주는 부분입니다. (DrawText함수로 뿌려줍니다)
죽은다음 뿌려주는 부분 offset 403D84
00403E08   |. 68 25080000   PUSH 825                                 ; /Flags = DT_CENTER|DT_VCENTER|DT_SINGLELINE|DT_NOPREFIX
00403E0D   |. 8D4C24 08     LEA ECX,DWORD PTR SS:[ESP+8]             ; |
00403E11   |. 51            PUSH ECX                                 ; |pRect
00403E12   |. 6A 04         PUSH 4                                   ; |Count = 4
00403E14   |. A1 E4694000   MOV EAX,DWORD PTR DS:[4069E4]            ; |
00403E19   |. 68 255D4000   PUSH plane-15.00405D25                   ; |Text = "aaaa"
00403E1E   |. 50            PUSH EAX                                 ; |hDC => D4011B0A
00403E1F   |. E8 3A0A0000   CALL <JMP.&USER32.DrawTextA>             ; DrawTextA

원래는 403E19부분에 Text는 "aaaa"가아니라 한문인데 확인차 수정하였습니다.
●4020FB->◎403400->◇40362A->◆404590->■40464A->△403D84

이루틴으로 오기까지의 경로입니다.

403E1F(DrawTextA)함수까지 오는 경로이지요

404590은 죽은후 기록,커서True,Bitbit,쓰레드정지 등등 루틴이있고

위로올라가면 검은배경의 반짝이는 별생성루틴,총알생성루틴,죽은다음 처리하는 루틴 이렇게나뉩니다.

바로 그루틴이 ->◎403400 이루틴입니다. 여길분석해보시면 알겠지만 별을 생성하고 움직이고 총알을 생성하고 움직이고

죽음(die)즉 총알맞았을경우의 분기문이있습니다. 저는 그부분을 간단하게 넘겨 총알을 맞아도죽지 않습니다.

여기서 중요한 루틴은 바로 ◎403400입니다
403400으로 들어오시면
--총알생성루틴--
0040360A   |> E8 ADF9FFFF      CALL plane-15.00402FBC             이루틴은 총알생성 루틴 (nop하면 총알이 안나옵니다)
---------------------------------------------------------------
--별 움직임 빠르게 조작(어지럽게)

0040349F   |. /EB 08            JMP SHORT plane-15.004034A9        ;
004034AF   |. EB 07            JMP SHORT plane-15.004034B8        ;
두주소를 nop로 채워주시면 더 어려운 버젼이됩니다.(어지럽슴)
-----------------------------------------------------------------------------------
기록 출력 루틴
00403527   |. E8 F4EBFFFF      CALL plane-15.00402120             ; nop하면 기록이안나옵니다.
------------------------------------------------------------------------------------
비행기가 총알을 맞았을때 터지는(죽는)루틴입니다.
0040362A   |. E8 610F0000      CALL plane-15.00404590             죽는 비트맵 구현루틴
-------------------------------------------------------------------------------------
검은바탕색 별 안움직이게하기
0040340E   |. 0F84 E7010000    JE plane-15.004035FB                nop하시면 됩니다. 별이안움직여요
----------------------------------------------------
그냥 검은 바탕색이 좋다 별없애자
0040341D   |. 0F87 86000000    JA plane-15.004034A9   jmp 004034A9하시면 됩니다.
------------------------------------------------
비행기 터지는 루틴
00403616   |. /74 3B            JE SHORT plane-15.00403653
00403618   |. |83F8 11          CMP EAX,11
0040361B   |. |75 17            JNZ SHORT plane-15.00403634
0040361D   |. |33D2             XOR EDX,EDX
0040361F   |. |8915 906D4000    MOV DWORD PTR DS:[406D90],EDX
00403625   |. |A1 DC694000      MOV EAX,DWORD PTR DS:[4069DC]
0040362A   |. |E8 610F0000      CALL plane-15.00404590             ;  총알맞고 죽을때 비행기 터지는화면루틴
------------------------------------------------------------------------------------------------------------
비행기가 총알을 맞아도 무한생명력을 지닐려면 403616과 40361B를 jne및 jmp 하시면 됩니다.
무적비행기 코드
--------------
offset 403616
jne 403653
offset 40361b
jmp 403634
------------
공부내용의 그림도 넣고 글도 상세하게 분석한걸 올릴수가없내요 군대라서..글을 길게쓰면 안올라가니 ~_~
그래야 40362A루틴을 벗어나면서 죽는루틴으로 안갑니다.

여러분들도 직접 해보시길 바래요 ~_~
매우좋은 공부였습니다. :D

출처 pdm1n blog:http://pdm1n.tistory.com

abexcm1을 여러가지 풀어보자.

2009-11-05T10:01:20+09:00

이번엔 여러가지 방법입니다.

한개의 방법이 제시되는게 아니라 영상으로 많은 방법을 제시합니다.

또다른 방법이 몇개 존재하나 다른 사이트와 겹치므로 올리지 않겠습니다.

압축을 풀면 사이트로 되어있는 html 파일과 swf 파일이있는데..

html 파일을 실행하셔서 보시길 바랍니다.

그리고 두개중 하나라도 지우시면 안됩니다.

Simple Anti Reversing Techniques

2009-11-03T11:09:31+09:00

예전에 제가 처음으로 책을 통해 안티 리버싱을 접했을 때 내용을 정리 해보기 위해 직접 작성한 문서 입니다 ^^

전 제가 공부한 것을 문서화 하기 좋아해서요~!

11월에 동아리 내부 세미나 하는데 간단하게 이걸 주제로 해볼려고 하네요~

발표 할 때는 쫌 더 공부해서 패커 만드는 것과 재미있는 예제를 몇가지 더 넣어야 겠어요 ^^

아~ 한가지 생각했는데 안티 디버깅 쪽 개념 설명할 때

지뢰밭을 가지고 설명해볼껀데 괜찮은 예제겠죠? ~

한번 써본 것~! 지뢰 밭 사진 한장 떡 하니 놓구요 ^^;;

설명

원하는 목적지에 도달 할 수 있는 길이 있다. 그 길에 만약 지뢰가 없다면

빠른 시간에 목적지에 도달 할 것이다.

만약 지뢰가 있다면 지뢰 탐지기를 가지고 지뢰를 제거 하면서 아주 천천히 진행 할 수 있을 것이다.

만약 지뢰를 밟는 다면 목적지에 가기 전에 죽게 될 것이다.

마찬 가지로 크래커가 디버거를 가지고 분석을 하는데 프로그램 중간 중간 지뢰 즉 안티 디버깅 코드가 심어져 있다면 천천히 트레이스 하면서 분석을 할 수 밖에 없을 것이다. 만약 안티 디버깅 코드를 탐지하고 못하고 그대로 실행을 시켜버린다면 디버거가 탐지 되 역분석을 성공하지 못하고 죽게 될 것이다.

P.S 다른 재미있는 예제가 생각 나신다면 의견 주셔두 되요 ~!

즐거운 하루 되세요 ^^;

오타가 있더라도..;; 너그럽게 용서를..

안티 안티디버깅을 이용한 안티 디버깅 - GetTickCount / RDTSC

2010-09-25T01:03:38+09:00

실로 오랜만의 강좌입니다!

초급으로할까 중급강좌로 할까 고민하다가

초급에 올립니다.

index.html을 보시면 되겠습니다

P.S 이런 식의 안티디버깅을 이름붙히자면

안티-안티-안티 디버깅인가요? -_-ㅋㅋ

themida 로 패킹된 파일 안티디버깅 우회하기(?)

2010-01-10T16:21:04+09:00

더미다 상위 버전은

http://coolsoft2.com/?mid=rversing_mb&document_srl=396698

이 방법 만으로는 안됩니다. (디버거가 탐지됬다고 뜹니다)

이 방법에다가

PhantOm 플러그인이 로드하는 드라이버의 이름들 (등)도 바꿔줘야 합니다.

1. 올리디버거가 있는 폴더의 ollydbg.ini 파일을 엽니다.

2. [Plugin PhantOm] 를 찾습니다.

3. 2번에 속해 있는 HIDENAME 을 임의의 값으로 바꿔줍니다. (아마 디폴트로 extrem로 되어 있을 것입니다.)

4. RDTSCNAME 을 임의의 값으로 바꿔줍니다. (아마 디폴트로 rdtsc로 되어 있을 것입니다.)

5. CAPTEXT 를 임의의 값으로 바꿔줍니다.

아마 될겁니다.

이런 뻘글 올려도 되나 모르겠네요. 올리면 안되면 게시글 이동해주시길.. ㅜㅜ

진혼이중주의 (컴백 스페셜) 리버스 엔지니어링 DLL Hook기법 2

2009-12-06T20:20:15+09:00

저번시간에는 간단한 타겟 익스큐즈파일 (즉 실행파일)을 조작 하는 dll을 파일을 제작해보았습니다.

이번에는 그 dll파일을 가지고 타겟파일과 연결시키는 작업을 해보겠습니다

1.엔트리 포인트를 찾는다...

엔트리 포인트 005828E5 >/$ 55 push ebp

메모해둔다.

(엔트리 포인트라는것은 프로그램의 사작점을 가르킨다 일반적으로 올리디버그를 이용해 해당 파일을 열었을때

처음 선택되어 있는 부분이 엔트리 포인트이다!)

2.텍스트 스티링으로 dll을 찾는다... (어셈부분을 오른쪽 클릭 -> 울트라 스트링 레퍼런스 -> 1 파인드 아스키 )

딱히 아무DLL도 상관 없습니다.

딜파일이름 아스키가 있는 곳에 있는 LoadLibraryA을 찾는다. 그러면 다음과 값이 나온다고 치자

0057CC57 |. FF15 04CD650C call near dword ptr ds:[<&KERNEL32.LoadL>; LoadLibraryA

어셈 명령어 call near dword ptr ds:[C65CD04] 를 메모해둔다.

3.바로 그 밑에 쯤에 있는 GetProcAddress을 텍스트 창에서 찾는다 그러면 다음과 같은 어셈문이 발견된다고 치자.

0057CC7D |. FF15 00CD650C call near dword ptr ds:[<&KERNEL32.GetPr>; GetProcAddress

어셈 명령어 call near dword ptr ds:[C65CD00] 를 메모해둔다.

4.어셈블리가가 없는 빈곳을 찾는다(DB 00) 여기서는 예를 들어 오프셋 주소 005BB87E주소에 입력했다

여기에 자신의 올리디버그 헥스 에디터로 자신이 만든 딜파일의 확장자를 포함한 이름을 적어 놓는다.

(헥스에디터로 쓰기전에 꼭 팔로인 덤프를 하라!)

시작할 어셈부분을 오른쪽 클릭 -> 팔로우 인 덤프 -> 셀렉션을 클릭하면 밑에 헥스창에 뜨면 헥스 창에 첫부분을 클릭하고 컨트롤 + E 누르면 에디터가뜬다

여기서 아스키칸에다가 적으면 된다.

5.그 밑에 몇칸 내려와 C++로 소스를 짯던 extern "c" __declspec(dllexport) void config();에서

config를 헥스 에디터로 적는다. //엔트리 함수 이름이다.

여기서는 예를 들어 오프셋 주소 005BB88E에다 썼다.

6.모두 저장한다음에 다시 올리디버그를 닫고 UDD폴더를 지운다. 그리고 다시 올리디버그로

게임서버를 다시 실행시킨다.

7.다시 몇 칸 내려와서 DLL이름이 적힌 오프셋값을 메모리에 저장시킨다. 여기서는 005BB898을 썼다.

어셈명령어로는 PUSH 딜파일명 오프셋 주소.... 여기서는 PUSH 005BB87E 이 된다.

8.한칸내려와 LoadLibraryA의 어셈문을 입력해준다... call near dword ptr ds:[C65CD04]이지만 그대로 적으면 입력이 안된다.

call near dword ptr ds:[0C65CD04] 이런식으로 오프셋주소 값 앞에 0을 넣어준다.

9.한칸 내려와 어셈문 OR EAX,EAX 를 입력해준다.

10,한칸 내려와 JE 엔트리 포인트를 적어 준다. 여기서는 JE 005828E5 이다.

11.한칸 내려와 PUSH 005BB88E 를 입력해준다.. 또 한칸 내려와 여기서의 주소값은

extern "c" __declspec(dllexport) void config(); 에서의 config이라고..... 썻던 엔트리 함수의 이름을 적어준다.

헥스값을 입력했던 주소이다.

12.한칸 내려와 eax값을 메모리에 저장해준다. 따라서 명령어는 PUSH EAX 이다.

13. 한칸 내려와 아까 찾은 GetProcAddress의 어셈문을 입력해준다.....

따라서 어셈명령문은 call near dword ptr ds:[C65CD00]이지만... 역시 이대로 바로

입력하면 저장이 안되므로 call near dword ptr ds:[0C65CD00] 과 같이 오프셋 값 앞에 0을 넣어준다...

14.한칸 내려와 아까 저장했던 eax값을 불러준다. 어셈문으로는 CALL EAX 이다.

15. 올리디버그의 어셈문 입력 작업은 거의 다끝났다 마지막으로 이제 어셈문의 작업들을

마치고 다시 엔트리 포인트로 보내주어야 한다. 따라서 점프 엔트리오프셋값 즉

JMP 005828E5 어셈문을 입력해준다.

16. 마지막으러 컨트롤 + A 를 눌러주어 어셈문에 이상이 없는지 디버깅한다.

17. 모든값을 저장하고 올리디버그 UDD폴더안의 내용을 지운다.

18. 이제 LoadPE프로그램으로 엔트리 포인트를 바꾸어야 한다. LoadPE를 실행한다.

PE Editor을 클릭하여 게임서버를 불러온다

LoadPE에서 어셈코딩의 시작점을 001BB898으로 엔트리 포인트를 바꿔주고 SAVE를 누르고

LoadPE를 닫아준다.

※주의! 올리디버거를 실행해서 게임서버를 연상태에서는 세이브가 안된다 올리디버그를 닫아주도록!!

전체적인 구조츨 보면 이렇게 되겠지요

005828E5 원래의 엔트리 포인트

005BB87E "OSTeams.dll"

005BB88E "config"

PUSH 005BB87E

call near dword ptr ds:[0C65CD04]

OR EAX,EAX

JE 005828E5

PUSH 005BB88E

PUSH EAX

call near dword ptr ds:[0C65CD00]

CALL EAX

JMP 005828E5

진혼이중주의 (컴백 스페셜) 리버스 엔지니어링 DLL Hook기법

2009-11-24T15:36:26+09:00

안녕하세요 진혼군입니다. 저를 모르시는 분들이 많을거라고 생각 합니다.

예전에 쿨소프트에서 많이 활동했었지요 -

필자는 리버스 엔지니어링의 입문은 어떠한 프리서버와 만나면서 이루어졌습니다.

라고는 해도 프리서버 운영은 해본적은 없네요. 코드를 짜서 넣고 배포만 했었지.. ㅎㅎ

필자의 리버스엔지니어링 기술은 전부 해외의 프리서버 전문 포럼 레지존에서 배웠다고 해도 과언이 아닙니다.

오늘의 강좌는 보통은 HOOK기법이라고도 불리우는 C++소스 코드로 DLL을 만들어서 해당 EXE파일을

조작하는 간단한 소스를 만들어 볼까 합니다.

준비물은

비쥬얼 스튜디오 : 저는 주로 비쥬얼 스튜디오 2008을 사용합니다.

비쥬얼 스튜디오 2008 90일 데모 버젼 다운로드 링크입니다.

정식버젼을 사용하고 싶으신분들은 p2p사이트에도 많이 올라가져 있습니다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=d95598d7-aa6e-4f24-82e3-81570c5384cb&DisplayLang=ko

참고로 이걸 정식버젼을 정품으로 사고 싶으시다는분... 굳이 말리지는 않겠습니다만... 가격이 상당합니다. 90일버젼을 쓰시던지.. 아니면 어둠의 루트를...

올리디버거

LoadPE

이렇게 있으면 됩니다. 올리디버그랑 LoadPE는 실제 DLL을 만들어서 EXE 파일이랑 연결할때 필요한것이니 지금 당장은 필요하지 않습니다.

(보통 DLL파일과 EXE를 강제로 연결시켜주는 작업을 후킹이라고 합니다.)

(올리디버그로 값의 위치를 찾는거일도 하고 있으니 C언어로 작업을 한다고 해도 올리디버그는 필수 불가결로 필요하게됩니다. )

흔히 EXE파일의 코드를 수정할때

ASM코딩을 직접 코딩이라고 부르기도 하고

C++코딩을 간접 코딩이라고 부르기도합니다.

그이유는 ASM코딩은 직접적으로 게임서버의 파일을 수정하기때문에 직접접근하는 방식이기때문이고

C++은 DLL에 자신의 모든 코딩을 담아서 EXE파일과 DLL을 연결해서 DLL에서 EXE파일을 접근하는방식이기때문에 간접 접근하기때문입니다.

일단

비쥬얼 스튜디오를 실행시키면 다음과 같은 모습이 나올겁니다. (처음 설치하고 실행했을때 베이스 언어를 C++로 해주시길 바랍니다.)

실행하면 다음과 같은 창이 뜹니다.

여기서 메뉴바에서 파일-> 새로만들기 -> 프로젝트를 클릭합니다

그리고 프로젝트 옵션은 다음과 같이 잡아봅니다. 일단 예제로 저는 프로젝트 이름을 OSCTeams로 잡았습니다.

이경우 나중에 컴파일해서 DLL파일이 만들어졌을때 OSCTeams.dll로 파일이 만들어지게 됩니다.

프로젝트 형식에서 win32를 선택하고 오른쪽에서는 win32 프로젝트를 클릭합니다.

밑에 위치는 프로젝트 생성 위치 디렉토리니깐 잘 기억해주세요.

다음은 프로젝트 세부 설정 옵션을 설정합니다.

일단 다음을 누르시고 그 다음에 나타나는 옵션에서 다음과 같이 체크 하세요

빈프로젝트를 체크 하는이유는 빈프로젝트는 에서 소스파일들은 무조건

#incldue "stdafx.h" 를 인크루드 해야 합니다. 안그러면 컴파일할때 에러가 뜨죠 -

대충 미리 컴파일된 헤더파일 포함 뭐.. 이런식으로 생각하시면됩니다.

stdafx.h는 미리 컴파일된 표준라이브러리를 포함시킬때 사용하면 유용합니다.

stdio.h, widows.h등등의 헤더파일은 컴파일러에서 기본적으로 제공을 해주고 미리 컴파일이 되어 있습니다.

미리컴파일된 헤더파일을 사용하면 컴파일의 시간을 단축 시킬수 있습니다만. 저희가 짜는 소스는 얼마 되지 않기에

안해도 상관 없습니다.

다음에서는 왼쪽에 보이는 솔루션 탐색기에서 소스코드를 적을수 있는 파일을 만들어야 합니다.

소스파일 코드에 오른쪽 클릭해서 다음과 같이 만들어 봅시다.

저는 임의 cpp파일을 만들었습니다. 이것은 제 임의대로 만든것이니 여러분이 맘에 드시는 이름을 선택하시면 됩니다.

다음과 같이 이름을 적고 추가를 누르시면 오른쪽에 텍스트파일처럼 쓸수 있는 공간이 생길것입니다. 이렇게요

cpp문서안에다가 일단 다음과 같이

타이핑을 하세요

예전에 프리서버 수정하면서 만들었던 소스 코드입니다.

#include "windows.h"

/*다음은 블러드 캐슬의 보상아이템을 수정하는 소스입니다.

BC_DROP_ITEM 작성자 Saber*/

#define GS_BC_DROP_ID (0x00531A98+1) //블러드 캐슬 보상아이템 타입 오프셋
#define GS_BC_DROP_GROUP (0x00531A9A+1) // 블러드 캐슬 보상 아이템 인덱스 오프셋

void BcDropIni (); //블러드캐슬 보상아이템 수정하는 함수인 BcDropIni 함수의 원형선언

extern "C" __declspec(dllexport) void config(); //익스트런 선언. config함수를 엔트리 함수로 하겠다는 선언 "c"는 엔트리 함수c스타일로 하겠다는 뜻 즉 c++의 함수오버로딩 사용 불가.

void config()
{
DWORD OldProtect;
LPVOID lpAddress = (LPVOID)0x00401000;
if (VirtualProtect (lpAddress,0x246000,PAGE_EXECUTE_READWRITE,&OldProtect)) //VirtualProtect함수 메모리 접근권한의 변경 (읽고쓰기 사용 가능 -)
{
  BcDropIni() ;
}
else
{
  MessageBox(NULL,TEXT("버츄얼 프로텍트 함수가 올바르게 호출되지 못했습니다."),TEXT("버츄얼프로텍트 오류"),NULL); //에러 메세지박스 출력
   ::ExitProcess(0); // 게임서버 프로세스 강제 종료
}
}

void BcDropIni ()
{
BYTE Bc;
Bc = GetPrivateProfileInt(TEXT("configs"),TEXT("BCItemDropID"),15,TEXT("OSCTeam.ini"));// OSCTeam.ini문서에서 [configs]에 있는 BCItemDropID값을 읽어드림
*(unsigned char *) GS_BC_DROP_ID = Bc ; //부호없는 char형의 포인터로 강제적인 형변환 헤당 오프셋에 값 대입

Bc = GetPrivateProfileInt(TEXT("configs"),TEXT("BCItemDropGroup"),12,TEXT("OSCTeam.ini"));
*(unsigned char *) GS_BC_DROP_GROUP =Bc ;
}

컴파일은 단축키 F7을 누르시면 컴파일이 됩니다.

그러면 당신의 프로젝트 생성했을때의 디렉토리로 가시면 Debug폴더가 생성되어 있고 그안으로 들어가면

OSTeams.dll파일이 있을껍니다.

extern "C" __declspec(dllexport) void config(); dll에 파일에서 가장 중요한 부분입니다.

extern 은 외부에서 접근이 가능하게 하다 뭐 이런뜻으로 생각 하면 됩니다. DLL관점에서 보면 게임서버는 외부에 있는 파일 이니까여 맞죠?

"C"는 C스타일의 함수라고 정의 합니다. 이것이 뭐냐.. 라고 생각 하시는데.. C++은 함수 오버로딩이라는 게 있습니다.

c에서는

int fnce()

int fnce(int a, int b)

비록 우리가 봤을때 함수를 호출할때

fnce(); 이렇게 하면 위에 함수를 호출하라는 거구나 알수 있지만 c에서는 허용을 안합니다.

하지만 c++에서는 허용을 하지요 이것이 함수 오버로딩이라는 것입니다

물론 c뿐만 아니라 파스칼이나 다른 언어에서도 사용이 불가능 하다. 함수 오버로딩은 C++만의 고유 기능이기때문에 다른 언어와의 호환성을 위해 "C"을 붙혀줍니다

함수오버로딩을 하지 않았다고 명시적으로 알려주는 것입니다.

EXE파일은 파스칼 언어로 작성되었는데 DLL 파일은 C로 작성되어 있습니다.. 사용이 가능할까요? 당연히 사용이 가능합니다

어차피 C언어나 파스칼 언어나 일단 컴파일되면 기계어 코드로 수정되기때문입니다.

__declspec(기억부류의 속성)은 엔트리 함수에 대한 정보를 제공한다 함수같아 보이지만 사실은 키워드입니다.

저 가로안에 들어갈수 있는 인수는 4가지이지만 보통은 2개를 주로 사용합니다.

__declspec(dllexport) : DLL을 사용하는 클라이언트(EXE파일이거나 DLL을 필요로 하는 또다른 DLL)에게 DLL의 시작 엔트리 함수의 정보를 명시적으로 제공을 해줍니다.

__declspec(dllimport): DLL소스에내에서는 쓰이지않고, 베이스 파일에서 DLL을 호출 할때 쓰이는 문법입니다.. (하지만 우리가 타겟으로 하는 EXE파일은 우리가 직접 소스를 짜서 만들어진 파일이 아닌 완성된 파일이기에! 우리에게는 필요가 없습니다.)

그다음에 엔트리 포인트 함수의 원형을 적어주면 됩니다.

extern "C" __declspec(dllexport) void config();

그리고 그다음으로 눈여겨 볼것은 VirtualProtect 프로텍터 함수입니다.

VirtualProtect 프로텍트는 해당 오프셋 주소부분의 접근권한을 변경해주는 API함수입니다.

MSDN에서 자세히 보도록 해볼까요?

HRESULT VirtualProtect (
    [in] void* lpAddress,
    [in] SIZE_T dwSize,
    [in] DWORD flNewProtect,
    [out] DWORD* pflOldProtect
);

매개 변수

매개 변수	설명
lpAddress	[in] 보호 특성을 변경할 가상 메모리의 기준 주소에 대한 포인터입니다.
dwSize	[in] 변경할 메모리 페이지 영역의 크기(바이트)입니다.
flNewProtect	[in] 적용할 메모리 보호 형식입니다.
pflOldProtect	[out] 이전 메모리 보호 값에 대한 포인터입니다.

반환 값

HRESULT	설명
S_OK	VirtualProtect에서 성공적으로 반환되었습니다.
HOST_E_CLRNOTAVAILABLE	공용 언어 런타임이 프로세스에 로드되지 않았거나, 관리 코드를 실행할 수 없는 상태 또는 호출을 성공적으로 처리할 수 없는 상태입니다.
HOST_E_TIMEOUT	호출 시간이 초과되었습니다.
HOST_E_NOT_OWNER	호출자가 잠금을 소유하고 있지 않습니다.
HOST_E_ABANDONED	차단된 스레드나 파이버가 기다리던 이벤트가 취소되었습니다.
E_FAIL	알 수 없는 치명적인 오류가 발생했습니다. 메서드가 E_FAIL을 반환한 후에는 프로세스에서 공용 언어 런타임을 더 이상 사용할 수 없습니다. 호스팅 API에 대한 이후의 호출은 HOST_E_CLRNOTAVAILABLE을 반환합니다.

설명

이렇게 VirtualProtect를 구현하면 HRESULT 값이 반환되지만 Windows 플랫폼 구현을 실행하면 작업이 성공할 경우 0이 아닌 값을 반환하고 실패할 경우 0을 반환합니다. 자세한 내용은 Windows 플랫폼 설명서를 참조하십시오.

첫번째 인자로 0x00401000이 인자로 넘어갔네요 대부분 프로그램들은 올리디버그로 열어보면

스크롤을 맨 위로 올려보면 그 시작값이 0x00401000으로 되어 있을겁니다.

두번째는 역시 올리디버그로 EXE파일 열어서 스크롤을 맨 아래로 내려놓고 나오는값을 가지고 시작인자값에서 빼주면

되겠지요?? 접근권한을 변경할 크기를 설정하는 부분이니까요

PAGE_EXECUTE_READWRITE

3번째 인자는 페이지 익스큐즈 리드라이트 즉 실행파일의 코드를 읽고 쓸수 있는 권한으로 바꾸겠다는 뜻입니다.

계산기 건들여보기(깔짝)

2009-11-17T10:51:42+09:00

후.. 쿨소프트의 발전을 기원하면서 눈팅이어도 상관없어요 ㅎㅎ 서로 공유하고

배우고 즐기는것이 목적이니까..ㅎ 열심히 글쓰고 배우고 읽고 그런거죠 머 ㅎㅎ아무튼

계산기 공부했던 내용입니다.

01002628(SetWindowText)주소에 숫자 값이 들어가는데 SetwindowTextW에 브포걸고
스텍의 ESP+10부분을보니

ESP+10 0100490D RETURN to calc.0100490D from calc.01002604가 있었습니다.

분명히 ESP+10부분엔 숫자부분이 있어야하는데 없는겁니다. 그래서 다시

원래자리01002621(push dword ptr ss:[ESP+10])자리에 브포를거니

ESP+10 자리에 숫자값이 재대로 나오더군요 그래서 왜 콜부분에 브포걸면 위치가다를까

생각해보니 콜위에 PUSH가 2번들어갑니다. 스택주소하나당 4byte기때문에

push 2개(4byte) -> EsP+10 + 8 = ESP+18 콜부분에 있더라구요

01002621     E8 12120100    CALL calc.01013838
01002626     90             NOP
01002627     90             NOP
01002628     90             NOP
01002629     90             NOP
0100262A     90             NOP
0100262B     90             NOP
0100262C     90             NOP
0100262D     90             NOP

01013838     FF7424 14      PUSH DWORD PTR SS:[ESP+14] //스택의 숫자 출력값
0101383C     8BF8           MOV EDI,EAX
0101383E     56             PUSH ESI                    //Class='Edit'의 핸들
0101383F     FF15 10110001 CALL DWORD PTR DS:[1001110] USER32.SetWindowTextW //원래되로 출력후
01013845     6A 00          PUSH 0 //메시지박스 스타일 확인버튼만
01013847     68 10390101    PUSH calc.01013910 //메시지박스 타이틀(ASCII로하면안됨 유니코드로..)
0101384C     FF7424 20      PUSH DWORD PTR SS:[ESP+1C] //위의 숫자 출력값
01013850     6A 00          PUSH 0 //핸들 NULL
01013852     FF15 A8110001 CALL DWORD PTR DS:[10011A8]; USER32.MessageBoxW //메시지박스 출력
01013858     C3             RETN // 복귀
01013859     90             NOP

계산기의 숫자를 입력할떄마다 메시지를 뛰었습니다.숫자값과같이..

공부하면서 궁금증
다른프로그램들은 주로 400100 이런식으로 4로 시작하는데
왜 calc.exe프로그램은 주소가 01012475이런식으로 시작하는지 궁금합니다.
스택도 0007FFE0이런식으로 시작하는지 궁금합니다. 주로 다른스택도 13FFC4이런식으로
13으로 시작하는데 궁금하다..

답: 일반적인 EXE파일의 ImageBase는 400000 이라는데 그건 개발도구에서 그렇게 세팅해서 란다 사용자가 원하면 고칠수도
있단다. 그리고 PE Header에 보면 스택의 시작위치가 명시되어 있지않다고 한다. (크기만 명시되어있다고한다)
PE Loader에 스택 주소가 결정되는 알고리즘이 있다고한다..

예전의 공부한 내용입니다. :D

MFC프로그램(스도쿠 만져보기 : 깔짝..)

2009-11-17T10:40:08+09:00

MFC라서 올딕벅으로 열어보면
00406D3E   $- FF25 E4814000 JMP DWORD PTR DS:[<&MFC42.#6215>]           ; MFC42.#6215
00406D44   $- FF25 E8814000 JMP DWORD PTR DS:[<&MFC42.#3089>]           ; MFC42.#3089
00406D4A   $- FF25 EC814000 JMP DWORD PTR DS:[<&MFC42.#1146>]           ; MFC42.#1146

이런식으로 암호화된것처럼 되있다...
정답 체크를 누루면 가로,세로,9칸 확인절차후 메시지박스를 뛰운다.
여기서 메시지박스를 브레이크포인트하고싶다. 3가지방법이있습니다.

MFC메시지박스 bp걸기
1. 모든 MFC42#OOOO의 브레이크를겁니다.(비효율적인 방법인데 제가 처음에 그랬습니다.)
2. 스도쿠 프로그램의 메시지박스 갯수를 샌다 그후 메시지박스가 4개일경우 MFC42.#1200 호출부분이 4군대 있을것이다 추측 후 브레이크
3. MFC42.dll의 가서 Messagebox검색후 브포 그후 역으로 리턴어드레스를 보며 원래 처음 호출한곳으로 간다
저는 3번을 써서 이 프로그램의 메시지박스주소는

00405FF7   . E8 3C0D0000   CALL <JMP.&MFC42.#4224> 이주소가 MessageBox주소였습니다. 함수목록에도 4개정도있었구요

00405FE0   . 56            PUSH ESI
00405FE1   . 8BF1          MOV ESI,ECX
00405FE3   . E8 28000000   CALL SuDoKoon.00406010 //정답맞는지 확인 루틴
00405FE8   . 85C0          TEST EAX,EAX //EAX가 0인가? (정답이아닐경우 EAX=FFFFFFFF임)
00405FEA   . 6A 00         PUSH 0
00405FEC   . 6A 00         PUSH 0
00405FEE      75 0E         JNZ SHORT SuDoKoon.00405FFE // EAX값이 0이 아니면 점프
00405FF0   . 68 C8B64000   PUSH SuDoKoon.0040B6C8
00405FF5   . 8BCE          MOV ECX,ESI
00405FF7   . E8 3C0D0000   CALL <JMP.&MFC42.#4224> (정답입니다 메시지박스 루틴)
00405FFC   . 5E            POP ESI
00405FFD   . C3            RETN
00405FFE   > 68 BCB64000   PUSH SuDoKoon.0040B6BC
00406003   . 8BCE          MOV ECX,ESI
00406005   . E8 2E0D0000   CALL <JMP.&MFC42.#4224>   (오답입니다 메시지박스 루틴)
0040600A   . 5E            POP ESI
0040600B   . C3            RETN

405FEE부분을 nop해주면 정답 메시지가뜨는군요..

다음엔 정답확인 루틴이 어떤식으로 진행되는지 살펴봐야겠습니다.

요번엔 글작성하는데 칼라를 넣었습니다. 칼라기능이있는줄 몰랐거든요 --;;

MFC프로그램의대한 좋은공부였습니다.:D