CodeEngn Basic RCE L04

OllyDBG에서 압축해제한 파일을 넣으면 cmd창도 같이 뜬다.

F8을 눌러서 하나씩 실행하다보면 cmd창에 디버깅 당함이라는 메세지가 뜨는데, 이 주소에 Breakpoint를 걸어서 다시 실행한 뒤 F7을 누르고 함수 안으로 들어간다.

함수 안에서 다시 F8을 눌러서 실행하다 보면 주석 처리한 것처럼 옆에 쓰여진게 있는데, 함수인 것 같아서 답으로 제출했다. 

 

IsDebuggerPresent()는 해당 프로세스가 디버깅을 당하고있는지의 여부를 PEB구조체의 디버깅 상태값을 확인한다.

(디버깅 당할때 리턴 값 = 1, 아닐경우 리턴 값 = 0)

출처: https://zrungee.tistory.com/56 [zrungee library:티스토리]

 

저번 문제에서 알게 된 API 함수들이 모여있는 All Intermodular calls에 들어가서 찾아보니 IsDebuggerPresent를 찾을 수 있다.