리버싱 연습도 할겸 크랙미를 풀고 있습니다.
많은 크랙미들중에서도 이 Duelist crakme series는 초보자들에게 매우 도움이 될꺼 같은 크랙미더군요.
아래는 크랙미 파일 원본입니다.
압축을 풀고 exe파일이라서 먼저 실행을시켜 봤습니다.
특정 코드의 입력을 요구하고 있고 안봐도 아시겠지만 코드의 값이 틀리면 다시 시도하라는 메세지박스가 뜹니다.
본격적인 분석을 위해 OllyDbg로 크랙미를 열어보았습니다.
처음 열었을때 나타나느 코드들입니다.
스크롤바를 내리면서 쭉 코드들을 봐봤을때 다음과 같은 API를 확인할수 있었습니다.
저는 처음 리버싱을 배울때는 API들을 하나하나 다 알아가면서 크랙미를 풀 필요가 있다고 생각하기 때문에 우선 이 API를 알아
봤습니다.
WM_GETTEXT 메시지를 컨트롤로 보내 컨트롤의 텍스트를 읽어 lpString 버퍼에 채워준다. 이때 컨트롤은 버튼, 에디트, 스태틱 등의 텍스트 표현이 가능한 컨트롤이어야 한다. 만약 버퍼 길이(nMaxCount)보다 문자열이 더 길면 문자열은 잘려진다.
GetDlgltemText A 에 대한 설명중 일부분입니다.
이 설명대로라면 버퍼의 크기는 0x24이고 버퍼의 시작주소는 004020f7입니다.
실제로 004020f7에 있는 값들을 봐보면 저희가 입력햇던 값이 저장이 되는군요
GetDlgltemText A 이후부터는 본격적인 연산이 시작되는 코드입니다.
입력한 값을 가지고 연산을 하는 부분인데 연산에 관한 설명은 다 아시리라 믿고 생략하겠습니다.
위의 연산들을 다 수행하고 eax랑 0이랑 같을때 jnz short due-cm1, 0040114C 명령을 수행하게 되는데
아래가 0040114c에 있는 코드들입니다.
00401158의 call 명령을 수행하기전에 3개의 인자를 전해주는것 같은데 004020f7이 버퍼의 주소라는 걸 눈치챌수 있었습니다.
0040114e의 값이 뭔지 알아보기위해 call 함수를 따라 들어가봤습니다.
이 부분을 유심히 바라보다가 call명령어가 끝나는부분을 봐봤었습니다.
이 코드에서 eax를 0과 다르게 해줘야 된다는걸 알수 있었는데 eax가 최근에 변한곳을 찾아보니 004011d8이였습니다.
이 부분을 건너뛸수 있는 방법이 004011d3에서 문자열을 비교할때 틀리지 않고 비교를 마친다면 jcxz 명령어때문에 1인 eax를 0
으로 바꿔줄 필요 없이 바로 함수의 종착점으로 가는것입니다.
004011d3 명령어의 비교대상이 edi와 esi이고 edi는 arg1 esi는 arg2이므로 최종적으로는 004020f7의 데이터와 004020d3의 데이
터를 비교해줫을때 같게 해주면 되는것입니다.
이에 맞게 코딩을 해주면
#include <stdio.h>
#include <stdlib.h>
int main(void)
{
int i;
int a[35] = {0x7B, 0x61, 0x65, 0x78, 0x64, 0x6D, 0x26, 0x6B, 0x7A, 0x69, 0x6B, 0x63, 0x65, 0x6D, 0x26, 0x3C, 0x26,
0x66, 0x6D, 0x7F, 0x6A, 0x61, 0x6D, 0x7B, 0x26, 0x6A, 0x71, 0x26, 0x6C, 0x7D, 0x6D, 0x64, 0x61, 0x7B, 0x7c};
int b[35];
printf("##########################\n");
printf("# Duelist crackme #1 #\n");
printf("# by xer0s #\n");
printf("##########################\n\n\n");
printf("The Key is : ");
for (i=0; i<35; i++)
{
b[i] = a[i] ^ 0x43;
b[i] = b[i] ^ 0x1E;
b[i] = b[i] ^ 0x55;
printf("%c", b[i]);
}
system("pause");
return 0;
}
The Key is : simple.crackme.4.newbies.by.duelist
코딩 잘못해서 한참 해멧엇네요..
풀어서 기분은 좋군요 ㅎ