728x90
1. 문제
마지막 문제이다. Call graph에서 악성 행위를 추가로 일으키는 함수를 찾는게 목표다
2. 접근방법
주석에 달린 문자들로 짐작을 하면서 접근했다. 보다보면 .inf 라는 문자열을 저장하고 어떤 함수를 호출하는데 뭔지 몰라서 찾아보니
❓
inf파일이란
드라이버를 개발하고 나서 사용자가 사용할수 있도록 인스톨 프로그램이나, 설치 파일을 만든것을 말한다
라고한다. 따라서 저 함수는 설치파일을 만들거나 핸들을 가져오는 그런 함수같다. 그 밑에 보면 Install 문자열을 false 분기시 복사한다.
그다음 또 쭉쭉 보다보면 ShellExecuteExA 를 호출한다. 커맨드를 실행할 수 있어 여기서 추가적인 행위가 일어난다. 실행에 성공하면 loc_4026dc로 빠지고 실패하면 다시 ShellExecuteExA 를 호출한다.
3. 풀이
따라서 정답은 loc_4025f4 이다
???
뭐야 왜 또 틀리지
ㅋ
- 대문자
- 형태는 ex) 00401000
따라서 004025F4 가 정답이다
4. 몰랐던 개념
- setnz al 어셈
zero flag가 0이면 al에 1을 넣고, 1이면 al에 0을 넣는다
728x90
'워게임 > CodeEngn' 카테고리의 다른 글
| [CodeEngine] Advance RCE L02 (0) | 2021.01.26 |
|---|---|
| [CodeEngine] Advance RCE L01 (0) | 2021.01.25 |
| [CodeEngine] Malware Analysis L07 (0) | 2021.01.23 |
| [CodeEngine] Malware Analysis L06 (0) | 2021.01.23 |
| [CodeEngine] Malware Analysis L05 (0) | 2021.01.22 |
Uploaded by Notion2Tistory v1.1.0