고정 헤더 영역
상세 컨텐츠
본문
728x90
반응형
이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고 있다. 디버거를 탐지하는 함수의 이름은 무엇인가
파일 유형 확인
32bit PE 파일이다.
따라서 32bit IDA로 열어본다.
분석
main 함수에서 바로 _main_0 함수로 점프한다.
IsDebuggerPresent 함수를 호출한다. 이 함수가 디버거 프로그램을 탐지하는 기능을 가진 함수로 보인다.
그리고 비교를 해서 있으면 loc_40107E로 점프하고, 없으면 printf(byte_431024); 를 한다.
없으면 printf(byte_43101C);를 한다.
Graph View를 봤을 때, 반복문 구조를 가진다.
while(1){
Sleep(0x3E8);
if(IsDebuggerPresent()){
printf(byte_43101C);
}
else{
printf(byte_431024);
}
}
따라서 Key는 IsDebuggerPresent 이다.
728x90
반응형
'REVERSING > Reversing Study' 카테고리의 다른 글
| CodeEngn Basic RCE L06 (0) | 2021.05.09 |
|---|---|
| CodeEngn Basic RCE L05 (0) | 2021.05.03 |
| CodeEngn Basic RCE L03 (0) | 2021.05.03 |
| CodeEngn Basic RCE L02 (0) | 2021.05.02 |
| CodeEngn Basic RCE L01 (0) | 2021.05.01 |
