📚캡스톤 디자인1 <CodeEngn Basic RCE L04>

🔥목표: 코드엔진 베이직 L04 문제🔥

Basic RCE L04: 이 프로그램은 디버거 프로그램을 탐지하는 기능을 갖고있다. 디버거를 탐지하는 함수의 이름은 무엇인가.

문제 다운로드 -> zip 압축 해제
비밀번호: codeengn

상황: 디버거를 탐지하는 함수의 이름 찾기

파일 실행 후 -> 아래와 같은 창이 뜨더니 "정상정상"이 계속 나타난다.

x32dbg에 파일 실행 화면

X32dbg로 보면, 아래 사진과 같은 "디버깅 당함"이 계속 뜬다.

창을 닫고 계속 읽어보자...

call dword ptr ds: [<&IsDebuggerPresent>] 부분 = 디버거 탐지

431024: "디버깅 당함 \n"
43101c: "정상 \n"

찾았다 :) 윗 부분부터 읽어보자.

   중간에 breakpoint를 걸지 않아서 다시 찾았다.. 다음부터는 꼭 걸도록 하자..!  
  

call dword ptr ds: [<&sleep>]
cmp esi, esp

IsDebuggerPresent가 실행 전 EAX = 0 -> 실행 후, EAX = 1

즉, IsDebuggerPresent 함수를 통해서

EAX값 = 1이면 디버깅 당하는 것으로 간주하여 "디버깅 당함" 출력
EAX값 = 0이면 정상 출력

-> EAX값을 0으로 바꿔주면 정상 출력된다.

따라서, 디버거를 탐지하는 함수의 이름은 IsDebuggerPresent

----------References

• RCE L04: https://covetknowledge.tistory.com/23