반응형
파일은 일단 UPX로 팩킹되어있습니다.
언팩킹을 하게 될 경우 실행되지 않습니다.
이는 StolenByte와 연관이 있습니다.
StolenByte란 어떤 코드를 다른 곳에 옮겨 놓은것을 의미합니다.
우리는 언팩킹을 하고 난 뒤 실행이 안됬으므로 원래 OEP로 가는 도중에
StolenByte가 있을 확률이 높습니다.
보통 UPX는 popad를 한 뒤 바로 JMP를 하지만
여기에서는 몇 코드가 더 있습니다. 이것이 StolenByte입니다.
'Reversing > CodeEngn Basic' 카테고리의 다른 글
| CodeEngn Basic 10 (0) | 2015.11.25 |
|---|---|
| CodeEngn basic 08 (0) | 2015.11.13 |
| CodeEngn basic 07 (0) | 2015.11.13 |
| CodeEngn basic 06 (0) | 2015.11.13 |
| CodeEngn basic 05 (0) | 2015.11.13 |