문제
reversing.kr의 easy unpack문제입니다.
같이 압축되어있던 readme.txt를 보면 OEP(Original Entry Point를 찾는 게 문제인 것 같습니다.
분석
peid로 봤을 때 packing이 되어 있어서 내용이 제대로 안 나옵니다.
peid의 나온 entrypoint로 가보면 entrypoint가 아닌 다른 위치가 나옵니다.
packing이 되어있어서 무수히 많은 분기점과 반복을 통해 쓸모없는 값을 저장합니다.
그리고 이 분기점의 마지막 분기점이 jmp 하는 곳을 보면 OEP를 찾을 수 있습니다. 마지막 분기점의 jmp에 break point를 걸고 실행을 시켜보면 packing이 풀리면서
답
다음과 같이 oep가 나오는 것을 확인할 수 있습니다.
- 추가
또 다른 방법으로는 tool을 이용하는 방법입니다. peid의 plugin에서 generic oep finder를 사용하면
다음과 같이 oep를 찾아줍니다.
보안을 공부합니다