티스토리 뷰
반응형
Autohotkey로 만들어진 EXE파일은 기본적으로 디컴파일 방지를 위해 패스워드를 걸어 놓는다.
그래서 디컴파일을 할 때 이 패스워드를 같이 입력해 줘야 정상적으로 코드를 확인할 수 있다. (Decrypt Key)
DecryptKey같은 경우 바이너리가 실행될 때 메모리상에서 평문형태로 존재하고있어 쉽게 찾을 수가 있다.
어느부분에서 찾을 수 있냐면 AutoHotKey를 복호화해주는 함수가 존재한다.
(항상 이 문자열인지는 모르겠지만 우선 ">AUTOHOTKEY SCRIPT<" 문자열 밑 함수이다)
이 함수 직전에 CRC를 검사하는 함수가 존재하는데, 이 부분에서 DecryptKey를 확인할 수 있다.
반응형
'Reversing > Wargame' 카테고리의 다른 글
| [Wargame] 레나 튜토리얼 15 ( Feat. 인라인패치 ) (0) | 2020.01.17 |
|---|---|
| [XCZ.KR] PROB34(Reversing) - feat. C# 코딩 (0) | 2019.06.28 |