튜기's blogggg

2016 Codegate Crypt1nth3sh3ll writeup

by St1tch




핵스뷰를 eax에 싱크를 맞춰놓고 트레이싱을 하다보면 

FindResource함수를 호출하고 난 뒤 헥스뷰를 보면 밑에 exe파일 같은 데이터가 보인다.

이게 뭐지 하고 binwalk로 돌려보았다.



pe파일이 한개 숨어있다.

바로 추출한뒤 트레이싱해보았다.



decrypted문자열 주위를 트레이싱 하다보면 위와 같이 ARIA_IS_GOOOD!~!가 스택에 잠시동안 박힌다.




decrypted된것이 ARIA_IS_GOOOG!~!임을 알 수있다.






블로그의 정보

튜기's blogg(st1tch)

St1tch

활동하기