[8주차] 제작 문제 풀이

파일을 실행하면 이렇게 뜬다 아이다로 디컴파일 했을 때 main이 위와 같다. 결론부터 말하면 위 for문을 반대로 만들면 끝나는 문제이다. //원래 코드 for ( i = 27; i >= 0; --i ) *v3++ += byte_406000[i] - i; //수정 코드 for ( i = 0; i  byte_406000의 배열은 위와 같다(16진수)  푸는 방법은 두 가지가 있다. 1. 파이썬이나 C++로 코드를 작성하고 실행하기 2. 어셈블리 수정  어셈블리를 이해한다면 이걸 수정하는 편이 더 편하다(코드를 작성하려면 조금 귀찮다) 간단하게 sub cl, al에서 sub를 add로만 바꿔보자 아래 덤프를 보면 문자열이 담긴 것을 알 수 있다.  다만 경고창에 SWING{} format이 맞냐..

[7주차] SWING G4M3 풀어보기

1. 31기 함은지 님 "SWING_JJANG" is not plaintext Correct 문자열이 존재한다. hi 한 번 입력하고 동적분석 진행하면 NRDIB_EEVIB라는 문자열이 보인다 다시 실행하여 입력해주면 성공  2. 31기 지현아 님 문자열을 찾아준다 아무거나 입력해보고 배열 하나씩 검사하는 거 같다 이렇다 할 문자열이 안 보였다 아이다로 디컴파일 했더니 v8+=v6^0x41 주목 이 v8이 25가 되면 성공하는 문제이다. 0x44^0x41이 0x05이므로 대문자 D를 5번 입력해주면 총 25가 된다. 성공  3. 31기 노희민 님 알맞은 코드를 입력하시오.PNG 파일 푸터 시그니처가 없는 걸 보아 그냥 맨 앞 PNG만 지워주면 될 거 같다 디버거로 열고 correct 문자열을 찾았다. 문..

[6주차] FAT.001 문제 풀이

디스크를 fix하라고 한다. 일단 Fix the Disk!!!!는 지웠다.  FAT 파일 복구를 검색해서 일단 시그니처인 55 AA를 검색했다.  파티션 4개까지 존재 가능하다는데 3번부터 위치할 수도 있는 건가...? MBR 위치 자체를 잘 모르겠다. 일단 파티션에서 짚어야 할 부분은 여기다. 앞 4바이트는 시작 주소, 뒤 4바이트는 끝 주소를 의미한다. 앞 4바이트를 읽어서(리틀엔디언) 계산한 섹터가 BR 위치라는데... ...존재하는 섹터보다 큰 수가 나왔다. 일단 55 AA 보이는 곳중에서 가장 내용이 많고 그럴싸한(?) 곳이다. MSDOS5인 것을 보아 구조가 맞는 거 같은데...   라업 봤다. 위 섹터를 0 영역에 덮어씌워야 한다. 섹터 0에 부트 레코드가 존재하기 때문이라고 한다 다시 ft..

[6주차] TryHackMe : Disk Analysis & Autopsy

파일을 열면 metadata에 md5 해시가 있다.      operating system information에 가면 desktop name이 있다.      그 아래 Operating system user account를 가면 users가 있다.      data accessed 순으로 정렬하면 맨 아래 sivapriya이다.      ...ip 주소 어딨는지 못찾았다... 라이트업 ON... Look@Lan이라는 프로그램에서 network를 모니터링 한다. 이부분에 LANIP와 LANNIC(MAC)주소가 있다.       windows/system32/config에 software 레지스트리 파일을 열면... microsoft/currentversion/networkcards에 description..

[6주차] 리버싱 문제 제작 과제