Lena Reversing - tutorial 10_3

Lena Reversing tutorial 10_3

세번째 프로그램인 ReverseMe2 프로그램이다.

프로그램을 실행시키면 다음과 같이 나온다.

Register 버튼이 활성화 되어있지 않다. 

User Name에 맞는 숫자를 넣어주면 활성화 되는 것으로 보인다.

vb-decompiler로 열어준다.

Text2 부분은 숫자 코드가 입력되는 부분이다.

숫자가 하나씩 입력 될 때마다 확인 하는 것으로 보인다.

405090을 Ollydbg에서 찾아간다.

breakpoint를 걸어주었다.

F9를 눌러 실행 시키고 user name 에는 abcdef, 숫자를 1 입력한 순간 break에 걸렸다.

숫자를 입력할 때마다 걸리는 것이 확인 되었다. 

F8을 눌러가며 살펴본다.

이전 프로그램에서도 보았던 아스키 값을 구하는 것으로 보이는 함수들이 보인다. 

아스키 값을 활용하는 것으로 보인다.

계속 진행해준다.

vbaVarCat 함수가 연달아 나오는 것이 보인다.

이전 프로그램에서 EAX값에 반환된 주소에서 8byte 뒤의 주소를 찾아가면 문자열이 보였던 것을 생각하고 찾아가본다.

user name에 적었던 각각의 문자의 아스키값이 붙어있는 것이 보인다. 

이것이 register 하는 코드가 아닐까 생각해본다. 

계속 진행하면 이번에는 rtcMidCharVar 함수가 나온다. 

이 함수 다음에 다시 반환값을 살펴본다.

값을 살펴보니 값이 조금 바뀌었다. 앞 뒤로 하나씩 없어진 것이 보인다. 

이전의 문자열에서 첫글자를 지우고 10글자 뒤로도 지우는 것으로 보인다.

그 뒤로 진행하다 보면 이번에는 vbaVarTstEq 함수가 보인다. 비교하는 함수이므로 7989910010을 코드 값으로 넣어보자

Register 버튼이 활성화 되었다.

버튼을 누르자 하단의 문자열이 바뀌는 것을 볼 수 있다. 

키 파일도 함께 생성되었다. 

끝.