Reversing.kr UnpackMe

OEP(Original Entry Point)를 찾는 문제이다

패킹때문인지 EXE인건 확인이 되는데 다른건 확인이 안된다.

 

패커도 UPX같은게 아닌 자체적으로 만든건가 싶다.

 

 

호로로로로로로롤로 겁나 길다. IDA로 봐선 잘 모르겠다 한번 열어봐야겠다.

 

첫번째 루프 jmp로 계속 반복하며 je조건이 충족되면 40A0C3으로 이동한다. 그러니 40A0C3에 BP를 걸고 이동해보자

 

 

2번째 루프 VirtualProtect와 GetProcAddress로 프로세스를 불러오는것 같다. 전부 다 불러오면 JNZ조건이 충족하는것 같아보여 JNZ다음에 BP를 걸고 계속 진행해보자

 

 

3번째 루프 LoadLibraryA함수로 dll을 로드한다. 그리고 조건이 충족되면 JE로 점프하는것 같다. 40A13E주소에 bp를 건다.

4번째 루프

 

여기서 제일 아래 JNZ조건이 맞지 않아 다시 맨 위로 올라가 반복한다.

아마 이 큰 루프를 통해 라이브러리를 로드하는것으로 보인다.

이루프들을 반복하여 가장 아래로 내려가면 JMP문이 있다 jmp하면 알수없는 값들이 나오는데

 

이걸 디비거에 있는 Analysis -> analysis code로 바꿔주면 함수 에필로그가 생긴다. 이곳이 OEP같다.