본문 바로가기

WARGAME/Reversing.Kr

Reversing kr Ransomware

이번에는 랜섬웨어를 풀어봤다



암호화 되어있다


run.exe는 UPX로 패킹되어있고...


즁요한 루틴이다

파일 ^ KEY ^ 0xFF

즉! KEY = 암호문 ^ 평문 ^ 0xFF


run.exe에서 이정도만큼이 평문


1
2
3
4
5
6
7
8
9
f1 = open('normal','rb').read()
f2 = open('file','rb').read()
 
print len(f1)
print len(f2)
 
for x in range(0,len(f2)):
    result = ord(f2[x]) ^ ord(f1[x]) ^ 0xFF
    print chr(result),
cs

 이처럼 코딩하고

실행해보면


이렇게 나옵니다

letsplaychess


다시 run.exe를 실행하고

letsplaychess 입력!!


file이 복호화 됬습니다


file 헤더를 보니 mz 임으로

file.exe로 바꾸고 실행


플래그 등장

'WARGAME > Reversing.Kr' 카테고리의 다른 글

reversing kr windows kernel  (0) 2015.05.14
Reversing kr CSHARP  (0) 2015.04.11
Raversing kr HateIntel  (0) 2015.04.10
Reversing kr CSHOP  (0) 2015.04.10
reversing kr FPS  (0) 2015.04.07