wargame.kr DLL_with_notepad

wargame.kr 의 DLL with notepad 문제다.

start를 누르고 페이지에 접속하면 이런 화면이 등장한다.

download를 눌러서 파일을 다운로드 받자.

다운로드받은 zip파일을 풀면 

notepad.exe, blueh4g13.dll 두개의 파일이 등장한다.

결국 저 dll 파일 안에 답이 있을건데, 그럼 dll을 분석해야한다.

이 문제는 dll을 분석할 수 있는가? 를 묻는 문제인 것 같다.

역시나. notepad.exe를 실행시키면 믿에 blueh4g13.dll이 붙어있는걸 확인할 수 있다.

그럼 OllyDBG에서 저 notepad를 Attach해서 notepad안의 dll들의 위치를 보고

저 붙어있는 blue...dll의 위치를 찾아보자

떡하니 blue4g... 라는 이름을 가진 dll이 있다.

더블클릭 혹은 엔터를 눌러 저곳으로 이동해보자.

이런식의 메인이 등장하는데, 우리는 여기서 찾을게 없다. 얻을 정보라고는

notepad.exe 에 Attach 된다는 것 쯤.,.?

문자열 검색을 해보자

실행 상태에서 문자열 검색을 해봤는데,

]0... 같은 이상한 문자열이 있고, 그 밑에 oh! hansome guy!

라는 문자열이 있다.. 일단 저 이상한 문자열이 있는 곳으로 이동해보자

그 이상한 문자열을 push 하고나서

EAX 값을 어떠한 주소에 모두 때려박은 뒤에

memset 후, oh! hansome guy! 라는 문자열을 push한다.

세밀한 분석을 거치지 않았기때문에 확실하게는 모르지만

감을 잡아보자면, 아마도 위에서 어떤 과정을 거치거나, 아니면 저 문자열 자체를 그냥 출력해주는 것 같다.

어쨌든 저 문자열을 복사해서 아까 페이지의 auth 체크 박스에 넣어서 체크해보자.

넣고, auth!

키 값이 등장했다. 끝.

사실 저 문자열이 무슨 의미인지조차 모르겠다..

dll 분석을 한건가... 야매식이라서..