선릉역 1번 출구

abex' crackme는 #1과 다르게 Name과 Serial을 입력으로 받고 있습니다. 그럼 이번 목표는 올바른 serial key를 찾는 것이 되겠습니다. (Name을 입력받기 때문에 Serial Key와 Name 사이 어떤 connection이 있는 것 같습니다.) EP는 00401238입니다. PUSH 00401E14를 하고 있는데 이것은 위에서 쓰인 ThunRTMain()의 parameter가 될 RT_Main Struct의 주소입니다. 그리고 CALL로 00401232를 호출하고 00401232에서 ThunRTMain을 부르고 있습니다. 한번에 CALL로 ThunRTMain을 불러도 되는데 여기서는 굳이 한 번 거쳐서 함수를 호출하고 있습니다. 이걸 바로 Indirect call이라고 부릅니..

먼저 이 파일이 어떤 파일인지 보겠습니다. 확인을 누르니까 Error 창이 뜹니다. 아직까지는 뭐하는 프로그램인지 잘 모르겠습니다. 이 시스템의 구조를 파악해봅시다. VMware에서 abex' crackme 파일을 ollydbg로 열어줍니다. 그럼 여태껏 다른 파일들과는 다르게 EP가 00401000입니다. 보통의 경우는 컴파일러가 stub code를 임의로 추가시키기 때문에 disassemble시 코드가 매우 복잡하게 보이는데 이 파일은 코드의 길이가 매우 짧습니다. 이 말은 즉 어셈블리 언어로 개발됐다는 의미입니다. 첫번째 PUSH부터 네번째 PUSH는 MessageBoxA함수의 매개변수를 stack에 넣는 과정입니다. 여기서 알아둬야 할 점은 stack이 FIFO구조이기 때문에 매개변수도 순서를 거..

[Options] -> [Appearance] 클릭 Directory Path 설정을 해줘야 함 파일 아무거나 만든 다음에 browse해서 경로 설정 그 다음 ollydbg.ini 클릭 (읽기전용으로 되어있다면 해제) 이 부분 path를 아까 설정한 파일 경로로 수정 여기서 Font 고르고 Rename 해 줌 -> [OK] 누르기 (Change 들어가서 세부 설정도 가능) 이렇게 설정 후 반영이 제대로 안된다면 아까 본 파일(ollydbg.ini)에서 default로 설정되어있는 폰트 설정을 고쳐주면 된다 여기서 16, 8 부분이 크기랑 관련된건데 여기 숫자를 적당히 조절해주면 영구적으로 반영됨

보호되어 있는 글입니다.