실행 시
또 메시지가 뜬다. Nags를 제거하기 위해 patch하라고 한다
또 또 또

 

OllyDBG를 실행한 결과

코드도 몇 줄 안되지만,, 실행하다보면 CMP EAX,0 가 뜬금없이 나온다.

EAX에는 실행 파일의 시그니처 값 MZ가 들어있다. 이는 DOS HEADER의 시작이며

이값은 절대 0일 수가 없다. (JE에서 점프가 불가능)

 

 

따라서 Entry Point를 401000에서 401024로 바꿔줘야 한다.

Memory Map에서 시작주소 400000번지의 PE Header 클릭
EntryPoint를 찾은 후 해당 값이 있는 주소(004000E8) 확인
덤프창에서 해당 주소로 가서 값 확인
00 10 00 00 을 24 10 00 00 으로 변경

원래 프로그램 시작점은 401000 이었지만, (Image Base 값 400000 + Entry Point 값 1000)

우리가 가고자 하는 401024로 가기 위해 4000E8의 값을 00에서 24로 변경해준다.

 

 

덤프창에서 먼저 Copy to executable file로 저장한 후, 실행하면 

요 아이가 또 뜬다

 

따라서 새롭게 저장한 파일을 OllyDBG에 다시 올려준 후 수정작업을 한다.

두번째로 뜨는 MessageBox를 삭제하기 위해서 NOP로 채워준다.

Copy to executable file - selection - save file
성공

'Study > Reversing' 카테고리의 다른 글

악성코드 주요 행위 분석  (0) 2021.11.10
고급 정적 분석 by IDA  (0) 2021.11.10
악성코드 분석  (0) 2021.11.03
Lena 2번 풀이/Rena's Reversing Tutorial 02  (0) 2021.10.27
윈도우 실행 파일과 패커  (0) 2021.10.06

+ Recent posts

티스토리툴바