리버싱 - crackme1.exe

 이전 프로그램과 달리 메모리주소가 [ 401000 ]에서 시작하지 않고 [ 40116B ]에서 시작한다. 이는 사전 작업으로 프로그램을 시작하기 전 사전 작업을 위한 코드로 보인다.

 쭉 실행하다보면 메모리주소[ 401233 ]에서 아래와 같은 코드를 볼 수 있다.

call crackme1.00401000

 프로그램 진입점이다.

 

밑줄 친 부분이 실제 메시지박스를 띄우는 함수를 콜하는 부분

 [ 401003 ]위치에서 [F7]을 눌러 메시지콜 함수로 진입한다.

메시지 박스 콜 함수에 진입한 모습

 그러면 위 이미지와 같은 메모리 주소로 이동한다. [ 40102E ]에서 local.1과 5를 비교해 ZF에 저장한다. 그러면 jnz^[각주:1]에 의해 다음 메모리 주소로 이동할지, jnz가 지정한 메모리 주소로 갈지 분기를 정한다. 여기에서는 다음으로 이동할 수 있도록 ZF값을 1로 변경하면

Good job!!!

 메시지가 출력되며 리버싱에 성공한다.

 추가 메시지로 다음이 출력된다.

6e3o

local.1은 아직 모르겠다. https://kin.naver.com/qna/detail.nhn?d1id=1&dirId=10405&docId=309901428

1. jump not zero [본문으로]