abex’ crackme #1, 2, 3

1. abex' crackme #1 

파일 실행 -> 2개의 메시지 창을 확인 

 
3개의 메시지 창이 뜨는 프로그램인 것을 알 수 있다. 
즉, 파일을 실행했을 때 에러가 발생해서 에러 메시지 창이 떴던 것이고, 에러가 발생하지 않으면 다른 메시지창을 뜰 것이다. 

• 시작 주소와 EP가 동일 : 매우 간단하고 명확하게 작성 
• high language로 작성되었을 때 앞뒤에 붙는 stub code가 없음
  • 어셈블리로 작성된 코드

 
- 메시지창에 적혀있던 대로 GetDriveType() 함수에서 CD-ROM 타입을 얻어야 할 것이다. 
- 현재는 root path를 c로 했으므로 하드드라이브가 되어있다. 
- ExitProcess: 현재 프로그램을 종료하라는 의미
 
**프로세스와 프로그램의 차이
: 소프트웨어로 패키징된 모든 걸 프로그램이라고 하고, 실행되고 있을 때 (=메모리에 상주하고 있을 때)를 프로세스라고 한다. 

(1) 중요 코드 설명

MessageBoxA 함수에는 4개의 파라미터가 필수적으로 필요 (Style, Title, Text, hOwner) 

•  hOwner에는 넣을 값이 딱히 없으니까 null값을 넣어둠 
• https://learn.microsoft.com/ko-kr/windows/win32/api/winuser/nf-winuser-messageboxa

GetDriveTypeA 함수

• 디스크 드라이브가 이동식, 고정식, CD-ROM, RAM 디스크 또는 네트워크 드라이브인지 여부를 확인
• 현재 RootPathName("c:\")를 매개변수로 전달해주었으며, 리턴값으로 3이 나옴 

 
 
EAX: 함수 결과값을 저장하고 리턴값을 전달. 즉, GetDriveTypeA () 함수의 리턴값인 3을 저장한다.

 
 
ESI와 EAX 값을 조정한 뒤, 두 값을 비교 함 
ESI = + 1 + 1 + 1 = 3
 

• ESI: + 1 + 1 + 1 = 3
• EAX: 3 -1 -1 = 1 
• 즉, 만약 하드 디스크가 cd rom이었을 경우 리턴값인 5가 EAX에 저장된다. 즉, 5-2 = 3의 값을 갖는다. 

질문: ESI는 시작주소를 저장한다. 따라서 INC이 3번 되면 시작주소(401000)에서 3이 더해진 것이다. 
그렇다면, 왜 401003이 아니라 03과 EAX값을 비교하는 것일까?
=> 맨 뒤에 두자리만 확인하는 것으로 추정됨 

 
JE (Jump if Equal): 조건 분기 명령어

• JE SHORT 01.0040103D
• = 두 값이 같으면 40103D로 점프하고, 다르면 그냥 밑(401028)으로 진행 
• 현재는 두 값이 같으므로 점프

 

(2) 크랙

+) 프로그램의 파일 혹은 실행 중인 프로세스 메모리의 내용을 변경하는 작업을 패치라고 한다
- 크랙은 패티와 같은 개념이지만, 특별히 그 의도가 비합법적이고 비도덕적인 경우를 따로 구분하여 말한다. 
 

• Assemble 기능을 통해 JMP 004013D 명령어로 변경 (해당 명령어 더블클릭 후 텍스트 수정)
  • 조건문을 거치는 것이 아니라 무조건 우리가 원하는 부분으로 점프할 수 있도록 조작 

F9 결과) 성공 

 
+)

스택에 파라미터를 전달하는 방법 

MessageBoxA() 함수의 파라미터를 역순으로 입력하고 있다.

 
만약, 해당 코드를 C언어로 작성한다면 아래와 같다. 

MessageBoxA(NULL, "Make me think your HD is a CD-Rom.", "abex' 1st crackme", MB_OK|MB_APPLMODAL);

 
스택은 FILO (First In Last Out) 구조이므로 파라미터를 역순으로 넣어줘야 받는 쪽(함수)에서 올바른 순서로 꺼내 사용할 수 있기 때문이다. 
 

---

2. abex' crackme #3 

실행하면, keyfile을 확인하고 찾을 수 없다는 메시지창이 뜬다. 

 
 

(1) 중요 코드 분석 

CreateFileA 함수
https://learn.microsoft.com/ko-kr/windows/win32/api/fileapi/nf-fileapi-createfilea

• 파일 또는 I/O 디바이스를 만들거나 읽음 
• 매개변수: Mode, Access, FileName(만들거나 열 파일 또는 디바이스의 이름)
• FileName: "abex.l2c"
• Mode: OPEN_EXISTING - 파일 또는 디바이스가 있는 경우에만 open 

HANDLE CreateFileA(
  [in]           LPCSTR                lpFileName,
  [in]           DWORD                 dwDesiredAccess,
  [in]           DWORD                 dwShareMode,
  [in, optional] LPSECURITY_ATTRIBUTES lpSecurityAttributes,
  [in]           DWORD                 dwCreationDisposition,
  [in]           DWORD                 dwFlagsAndAttributes,
  [in, optional] HANDLE                hTemplateFile
);

리턴 값 : FFFFFFFF (file not found)

 
리턴값이 FFFFFFFF (-1) 이므로, CMP EAX, -1의 결과로 ZF=1이 되면서 JE문에 의해 00401075로 점프하게 된다.

 
따라서, 같은 경로 내에   "abex.l2c" 파일을 생성하여서 함수의 리턴값을 바꿔야 한다. 

 
다시 실행해보면, 파일은 찾았지만 적절한 파일이 아니라는 메시지창이 새롭게 뜬다. 

 
함수의 리턴값(EAX에 저장)도 20C으로 달라졌다. 

 
리턴값이 달라졌기 때문에 점프하지 않고, 다음 명령어로 넘어간다. 
 
GetFileSize 함수

• 지정된 파일의 크기(바이트) 검색 
• https://learn.microsoft.com/ko-kr/windows/win32/api/fileapi/nf-fileapi-getfilesize

실행 결과 EAX에 0이 저장되었다. (파일에 아무것도 적지 않았기 때문)

 
CMP EAX, 12 : EAX와 12 비교 

•  CMP: 두 피연산자 비교 ->  다름 ->  ZF = 1 
  
  • 두 피연산자 값이 같다면 결과는 0이 되고 ZF는 1이 된다. 만약 두 값이 다르면 ZF가 0이 된다. (두 값이 다름 -> 결과가 0이 아님)

JNZ SHORT 00401060

• JNZ: Jump if Not Zero => 0이 아니므로, 점프
  • 제로 플래그(ZF)를 체크하여, ZF가 0이라면 (즉, 직전의 연산 결과가 0이 아니라면) 주어진 주소(00401060)로 점프. 만약 ZF가 1이라면 (직전의 연산 결과가 0이라면), 점프를 수행하지 않고 다음 명령어를 계속 실행한다

 
따라서, 파일 사이즈를 EAX에 저장된 값으로 맞춰준다. 
이때, 12는 16진수이므로 10진수로 18 바이트의 크기의 문자열을 입력해주면 된다. 

 
다시 실행해보면 점프하지 않고 다음 명령어를 수행하여 크랙에 성공한 것을 확인할 수 있다. 

 

---

3. abex' crackme #2

*학습목표: 간단한 crack me 파일을 분석하여 디버거와 디스어셈 코드에 익숙해지고, Visual Basic의 파일 구조를 살펴본 뒤 분석 방법을 배운다. 
 
**해당 exe 파일은 Visual Basic으로 제작되었다.
 

(1) abex’ crackme #2 실행

• exe 파일을 다운로드 받아보니 해당 화면이 떴다.
• 전형적인 crackme의 형태인 시리얼 키를 알아내는 프로그램이라고 한다. 
• Name을 따로 입력받는 걸로 봐서는 시리얼 값을 생성할 때 Name 문자열이 사용될 가능성이 있다
  • 이 부분은 경험을 통해 저자가 추측한 부분
• 일단 먼저, 해당 칸에 아무값이나 입력해본 후 [Check] 버튼을 눌러준다

 
 

• 각 abc, def를 입력했는데 최소 4글자를 치라고 에러창이 떴다
• 따라서, 더 긴 문자열을 입력해주었더니, 시리얼 값이 틀렸다는 에러 창이 뜬다. "Wrong serial!"

 

(2) Visual Basic 파일 특징 

**해당 exe 파일은 Visual Basic으로 제작되었다.
- 따라서 해당 파일을 디버깅하기 전에 Visual Basic 파일에 대해서 알아보자
 

• VB 전용 엔진
  • VB파일은 MSVBVM60.dll (Microsoft Visual Basic Virtual Machine 6.0)이라는 전용 엔진을 사용한다.
    • The Thunder Runtime Engine 이라고도 불림
      
      • VB엔진의 예시
        • 메시지 박스를 출력하고 싶을 때 VB 소스코드에서 MsgBox() 함수가 호출되도록 만들고, 이 함수 내부에서 Win31 API 인 user32.dll!MessageBoxW() 함수를 호출해주는 방식으로 동작한다. 
    • N(Native) code, P(Pseudo) code
      • VB 파일은 컴파일 옵션에 따라서 N code와 P code로 컴파일이 가능하다.
      • N code: 일반적인 디버거에서 해석 가능한 IA-32 instruction 을 사용함
      • P code: 인터프리터 언어 개념으로 VB 엔진으로 가상머신을 구현하여 자체적으로 해석 가능한 명렁어(바이트 코드)를 사용하는 것이다.
        • 따라서, VB의 P code를 정확히 해석하려면 VB엔진을 분석하여 에뮬레이터를 구현해야 한다.
  • Event Handler
    
    • VB는 주로 GUI 프로그래밍을 할 때 사용되며, IDE 인터페이스 자체도 GUI 프로그래밍에 최적화되어 있다. 
    • 즉 VB 프로그램은 윈도우 운영체제의 Event Driven 방식으로 동작하기 때무에 main() 혹은 WinMain()에 사용자 코드(=우리가 디버깅을 원하는 코드)가 존재하는 것이 아니라, 각 event handler에 사용자 코드가 존재한다.
  • undocumented 구조체
    • VB에서 사용되는 각종 정보(Dialog, Control, Form, Module, Function 등)들은 내부적으로 구조체 형식으로 파일에 저장된다
    • 마이크로소프트에서는 이러한 구조체 정보를 정식으로 공개하지 않았기 때문에 VB 파일의 디버깅에 어려움이 있다.

(3) Start debugging

• 프로그램이 시작되면  EP(401238) 코드에서는 VB 엔진의 메인함수(ThunRTMain)를 호출(CALL)한다. 
  • CALL <JMP.~~~~#1100> 을 F8 실행하면 crackme창이 뜨므로, 해당 부분에 breakpoint 해두고, F7로 들어가보았다. //안해도됨
  • 주석 등을 통해 Main함수가 호출되는 것을 알 수 있다. 
• PUSH 00401E14
  •  401E14를 스택에 입력(PUSH)한다
    • 401E14는 RT_MainStruct 구조체 주소이다 
• CALL <jmp.~~~~#1100> //CALL 4012E4
  
  • 해당 명령어에 의해 401232 주소의 JMP DWORD PTR DS:[4010A0] 명령어 실행 
    • 실행된 JMP 명령어에 의해 VB 엔진의 메인함수인 ThunRTMain() 함수로 간다
    • 앞에서 스택에 입력한 4012E4 값은 ThunRTMain()의 파라미터 값이다. 

 
- 간접호출

• 40123D 주소의 CALL 401232 명령은 ThunRTMain() 함수 호출이다
  • MSVBVM60.dll! 1unRTMain()으로 직접 가는 것이 아니라 중간의 401232 주소의 JMP 명령을 통해 가는 특이한  방식이다 
  • 이 기법은 VC++, VB 컴파일러에서 많이 사용되는 간접호출(Indirect Call)기법이다.

 
- RT_MainStruct 구조체 

• RT_MainStruct 구조체의 멤버는 또 다른 구조체의 주소들이다. 즉, VB엔진은 파라미터로 넘어온 RT_MainStruct 구조체를 가지고 프로그램의 실행에 필요한 모든 정보를 얻는다는 것을 알 수 있다
• 책에서는 정확한 설명 생략

- ThunRTMain() 함수 //401232에서 F7

 

• 해당 화면은 ThunRTMain() 코드의 시작 부분이다.
  • 메모리 주소가 완전히 달라진 것을 볼 수 있다.
    
    • 이 주소는 MSVBVM60.dll 모듈의 주소 영역이다. 
    • 즉, 우리가 분석하는 프로그램의 코드가 아니라 VB엔진의 코드라는 것이다.
    • 이 부분은 지금 분석할 필요X

- crackme 분석
우리가 보고싶은 패치패야 하는 코드가 어디에 있는지 단서를 찾아야 한다. 
우리가 알 수 있는 단서가 많지 않으므로, 가장 간단하게 에러 메시지 박스와 경고 문자열을 사용하기로 한다.
 
- 문자열 검색 
//마우스 우클릭 후 search for -> all referenced text string

 

• 이전에 봤던 시리얼이 틀렸다는 문자열을 확인할 수 있다. 
  • 더블클릭하여 해당 주소로 바로 이동한다

• 메시지 박스의 타이틀 뿐만 아니라 내용 부분까지 확인할 수 있으며, 실제 메시지 박스 호출 함수 코드 또한 나타났다. 
  • 메시지 박스 함수 호출 코드: 4034A6
• 프로그래밍 관점에서 생각해보자
  1. 어떤 알고리즘으로 시리얼 키를 생성하고
  2. 사용자가 입력한 키와 문자열 비교를 통해서 각각 TRUE(키가 같음)와 FALSE(키가 틀림)로 코드가 갈라질 것이다. 즉, 위 코드 전후에 문자열 비교 코드 그리고 키가 맞았을 때 출력될 성공 메시지 박스 호출코드가 존재할 수 있을 것이다. (스크롤을 올리면 확인 가능)

 

 

• 403329 주소의 __vbaVarTstEq() 함수를 호출해서 리턴값(AX)를 비교(TEST 명령)한 후 403332 주소의 조건 분기(JE 명령)에 의해서 참, 거짓 코드로 분기하게 된다. 

 
- 문자열 주소 찾기 

• 403329 주소의 __vbaVarTstEq() 함수가 문자열 비교 함수라면, 그 위에 있는 두 개의 PUSH 명령어(403327,403328)는 비교 함수의 파라미터, 즉 비교 문자열이 될 것이다.
  • C언어의 strcmp() 함수를 통해 저자가 추측한 부분
  • 403329 주소까지 디버깅을 진행해준다.
    • 403329에만 Breakpoint를 걸고 F9를 통해 실행했다.

 

• SS: [EBP-44]
  • SS: 스택 세그먼트 
  • EBP: 베이스 포인터
  • 즉, EBP-44는 스택 내의 주소를 말하는데, 이것이 바로 함수에서 선언된 로컬 객체의 주소이다.
    • 로컬 객체는 스택영역에 저장됨VB의 문자열은 C++의 string 클래스와 마찬가지로 가변 길이 문자열 타입을 사용한다.

해당 주소로 이동하는 법: 해당 주소 클릭 -> 마우스 우측 버튼 -> Follow in dump (-> Memory address)

 

• EAX:19F298
• EDX:19F288

메모리 덤프 창 -> address with ASCII dump 
*복구: Hex -> Hex/ASCII(16 bytes)

• 사진에서 알  수 있듯이 결국 EDX는 실제 serial 값이고, EAX 값은 내가 입력한 시리얼 값이라는 걸 알 수 있다.
  • 따라서, 같은 Name 값으로 해당 시리얼 값을 입력해보면 성공이다

 

 
- Serial 생성 알고리즘

• 위에서 보았던 조건 분기 함수는 어떤 함수에 속해있을 것이다. 그 함수는 Check 버튼의 event handler 일 것이다. 
  • [Check] 버튼을 선택했을 때 위 함수가 호출되었으며, 성공/실패 메시지 박스를 출력하는 사용자 코드를 포함하고 있기 때문이다
  • 해당 조건 분기 코드에서 위로 스크롤을 하다보면 아래와 같은 코드를 찾을 수 있다

 

• 아래 코드는 함수가 시작할 때 스택 프레임을 구성하는 전형적인 코드이다.
  • 따라서, 이 위치가 함수의 시작임을 알 수 있으며, 바로 [Check] 버튼의 event handler이다. 
  • 정확한 분석을 위햐 402ED0에 BP를 건다.

 
- 코드 예측하기
 
- 시리얼 키를 생성하는 프로그램의 개발 경험이나 리버싱 경험을 통해 시리얼 키의 생성방법에 대한 예측이 가능하다.

• Name 문자열 읽기
• 루프를 돌면서 문자를 암호화 하기 

따라서, VB엔진 함수로 작성된 해당 파일도 원리가 이와 비슷할 것이라고  예측할 수 있다
예측이 맞다면, event handler 시작 코드부터 디버깅을 하여 Name 문자열을 읽는 부분을 찾으면, 바로 이어서 암호화 루프가 나타날 것이다. 
 
- Name 문자열 읽는 코드와 암호화 루프 

 
- 해당 Call 함수를 실행하면 스트링 객체에 값이 저장되는 것을 확인할 수 있고, 

 
- 계속 디버깅을 하게 되면 반복문을 만나 정해짓 횟수만큼 루프를 돌게 된다.
 
- 암호화 방법

 

• 입력한 Name: minji123
• 위의 화면까지 디버깅한다
  • ECX:00191F0
    • 결과 저장용 버퍼
  • EAX: 0019F1F0
    • 암호화 키
  • EDX: 0019F278
    • Name 문자열에서 첫 번째 문자의 아스키 값
• 이처럼 생성된 문자열을 이어 붙여주는 방식으로 진행된다.

-  암호화 방식 총 정리 

1. 주어진 Name 문자열을 앞에서부터 한 문자씩 읽기(총 4회)
2. 문자를 숫자(ASCII코드)로 변환
3. 변환된 숫자에 64를 더함
4. 숫자를 다시 문자로 변환
5. 변환된 문자를 연결시킴