Phantom

프로그램을 실행해보니 637일이넘던데..음…. 프로그램을 하나하나 미친 듯이 CMP를 찾아 다니면서 하고 있다가 와업을 보니 Exe2Aut라는 프로그램의 이름을 보았다. 바로 실행했다. 루프의 끝을 바로 보여주네…원래였다면 디버거에서 16진수로나왔을 테니.. CMP EDI, 0x63B8E 이렇게 나왔을 것이다. 이 값을 인코딩하면 Md5 Hash: 6903eef5902839b661840d64a04dd81d

프로그램을 아이다에 넣으니 UPX로 시작된다. 패킹이 되어있나 보다. Upxtool을 써서 패킹을 풀겠다. 그리고 실행해보니 전혀 다른 화면이 나온다. 안티 디버깅인것으로 알고 있다.] IsDebuggerPresent함수의 리턴값을 변조하고 다시 실행한다. 그리고 모든 MessageBox함수에 BP를 걸고 찾다가 Certlab이 출력되는 함수를 찾았다. 그리고 그 아래에 CMP문과 MOV문이 있는데 EDI에 값이 있더라. 그렇다면 MessageBoxW함수 실행하는 도중 sleep이 걸렸다는 건데 보니 timeGetTime함수가 있더라. 이보다 자세한 설명이 없을 것 같아 사진을 첨부한다. 먼저 MessageBox실행된 직후 현재시간을 가져온 다음 ESI에 저장한다. 현재시간을 가져오고 현재시간에서 ESI..

이 문제는 의외로 간단했다. 이 비교문 하나로 값을 비교하는데 EBP-3C에는 이 값이 들어있다 이걸 10진수로 바꿔서 다시 실행해보면 3172251863 이제 이 값을 MD5로 바꾸면 Md5 Hash: dea22fee8d5293acc6fe170a667db7bb