[Crypto 300]

[문제설명]

문제에서 제공하는 엑셀파일을 다운받아 실행하면 VB로 만든 게임이 실행된다. 양이 기어다닌다.

예전에 유행했던 프로그램이었는데…..

실제 패킷 캡쳐를 해보면 서버에서 ram.exe파일을 받아 온다. Ram.exe를 실행해도 양이 기어다닌다. 하지만 결국 이 파일은 Fake이다.

문제 파일을 다운로드 후 Passware Password Recovery kit Forensic 툴 Version 9.0으로 엑셀파일의 메크로에 설정되어 있는 암호를 크랙함

기존의 c300_f75bec6f545034716.xls파일에 패스워드를 대입하면 열리지 않는다.

Unprotected file : c300_f75bec6f545034716-unprotected.xls 에서 Visual Basic Editor를 실행  “Y6HA1H”을 입력하면 project에서 소스코드를 확인할 수 있다.

Sheet2(Data)를 살펴보면 visible이 숨김으로 표시되어 있으므로 변경하여 활성화 시켜준다.

다음과 같이 Data 쉬트가 활성화 된다.

다음 CK 부분이 중요함

CK = Worksheets("Data").Range("AU2") & Worksheets("Data").Range("BE4866") & _

        Worksheets("Data").Range("Z9550")

-AU2-

-BE4866-

-Z9550-

Key : a23sd21AeB349sdfWewrfw29552

[crypto 100]

Decrypt please

드보락(dvorak) 자판은 오거스트 드보락 박사가 제안한 영문 글자판이다.

dvorak keyboard를 이용하여 풀면 된다.

http://wbic16.xedoloh.com/dvorak.html

문장을 해석하면 드보락에 관한 내용이다.

Key : dvorak

비밀키 암호시스템은 송 · 수신자가 동일한 키에 의하여 암호화 및 복호화 과정을 수행하므로 키를 안전하게 전송하고 보관함에 있어 어려움이 야기되기 때문에 키 관리가 필연적으로 요구된다. 이러한 키 관리의 어려움을 해결하기 위하여 제시된 개념이 공개키 암호시스템 이다.

공개키 암호시스템은 암호화와 복호화 과정에서 서로 다른 키를 사용하고, 암호화 키를 공개하여 키의 전송 및 비밀 보관 등을 필요없게 만든 시스템이다. 1976년 W. Diffie와 M. E. Hellman은 논문 “New Directions in Cryptography”에서 공개키 암호시스템이란 개념을 최초로 제시하였다. 그 후 공개키 개념을 실현하기 위하여 여러 알고리즘이 발표되었지만 현재 안전성을 인정받고 있는 공개키 알고리즘은 RSA와 Merkle-Hellman 알고리즘 등이 있다.

? 블록 암호시스템의 종류

? 블록 암호시스템의 운용모드

11월 중간선거부터 … 33개주 300만 명 대상

▣ 구조화된 예외 처리(Structured Exception Hadling)

-       SEH : OS가 발생한 예외를 구조화된 방법으로 App에게 전달하는 메커니즘을 제공함

-       예외(exception)는 예외 핸들러라고 불리는 특별한 함수로 즉각 점프하게 하는 프로그램 안에서의 특별한 조건

-       예외 핸들러는 발생한 문제점을 해결할 것인지,

                                     프로그램이 동일한 코드를 다시 실행하게 만들 것인지,

                                     프로그램의 다른 부분이 실행되게 할 것인지,

                                     프로그램을 종료할 것인지

결정함

●  하드웨어 예외

-       프로세스가 만들어 내는 예외

Ex: 유효하지 않은 메모리 접근, 0나누기 등

●  소프트웨어 예외

-       프로그램이 에러를 보고하기 위해서 예외를 생성할 때 발생

Ex: C++에서 throw키워드 이용

 ▣ 실행 포맷

윈도우 실행파일 포맷인 PE(Portable Executable)의 기본적인 구조 이해

●    기본 개념

-       실행파인은 재배치 될 수 있음(로드될 때마다 다른 가상 메모리 주소에 로드될 수 있음)

-       OS는 각 프로세서마다 고유한 주소 공간을 제공하지만 주소 공간에는 여러 개의 실행 바이너리들이 로드됨

-       프로그램은 자신의 주소 공간에 실행파일뿐만 아니라 DLL과 같은 추가적인 실행 모듈들을 로드함

-       기존에 사용하고 있는 주소에 다른 프로그램이 해당 주소를 사용하려고 하는 경우 다른 주소에 로딩해야 되는데 이때 재배치 작업을 수행함

# 재배치가 중요한 이유

-       실행모듈헤더에서는 절대주소가 사용되지 않고 코드에서만 절대주소가 사용되기 때문

-       실행 모듈 헤더에서는 항상 상대가상주소(RVA, Relative Virtual Address : 단순 offset값)를 상요함

-       실행 모듈이 로드되고 가상주소를 할당받을 때 로더는 실제 가상주소를 계산함

(모듈의 Based Address + RVA = 실제 가상주소)

●    이미지 섹션

-       실행이미지는 여러가지 섹션으로 나누어 짐

-       코드(text)섹션 : 실행모듈의 코드 포함

-       데이터섹션 : 데이터 포함

-       실행 모듈 로딩 시 메모리 관리자는 섹션 헤더의 설정 내용에 따라 각 섹션에 해당하는 메모리 페이지에 대한 접근 권한 설정함

●    섹션 정렬

-       메모리에 로드되는 섹션의 크기는 일반적으로 페이지 크기의 배수

-       반대로 실행 이미지를 페이지 크기 단뒤로 디스크에 저장하면 실제 필요한 용량보다 훨씬 큰 용량을 차지함(디스크 낭비)

→ 위의 이유로 인해 PE헤더는 섹션정렬을 위한 두개의 필드가 존재함

섹션정렬 필드 : 실행 이미지를 메모리에 로드할 때 사용

파일정렬 필드 : 파일을 디스크에 저장할 때 사용

●    동적 링크 라이브러리(DLL)

-       동적 링크 라이브러리의 개념

프로그램은 하나 이상의 실행 파일로 분리될 수 있고, 각 실행 파일은 프로그램 기능의 일부분이나 일부 기능을 수행하는 것

           장점 : 필요한 기능을 제공하는 실행 모듈만 로드해서 사용함(메모리 낭비를 줄임)

                  프로그램의 기능 변경시 해당 모듈만 변경하거나 추가하면 됨

●    정적 라이브러리(.lib)

-       실행 모듈에 영구히 링크됨

-       프로그램이 빌드될 때 .lib파일안의 코드를 원래 소스코드의 일부분인 것처럼 실행 모듈에 정적으로 링크시킴

-       실행 모듈이 로드될 때 OS는 로드된 실행 모듈안에 정적라이브러리가 있다는 것을 알지 못함. 이는 같은 정정적라이브러리가 포함된 A, B프로그램이 있다면 정정라이브러리가 중복되서 로드될 것임(메모리 낭비가 발생할 수 있음)

●    윈도우 프로그램 실행 시 DLL로드 방법

(1)   정적링크

-       실행 이미지의 임포트 테이블 안에 다른 실행모듈에 대한 정보를 포함시키는 과정

-       실행 이미지가 사용하는 모듈들도 같이 로드함

-       해당 모듈들에 대한 모든 외부 레퍼런스 정보를 올바르게 맞춤

(2)   동적링크

-       실행 이미지가 런타임 시에 다른 실행 모듈에 대한 로드여부를 판단함

-       런타임 시에 모듈을 직접 로드하고 로드한 모듈 이미지의 헤더를 검색해서 호출하고자 하는 함수를 찾아야만 함

  ＃ 리버싱 관점에서 볼 때 정적 링크 방법은 어떤 모듈의 어떤 함수를 사용하는지 전부 할 수 있으므로 좀더 다루기 쉽다

●    헤더(Header)

-       PE파일은 DOS헤더로 시작함

-       하위 호환을 위한 부분으로 DOS시스템에서 PE파일이 실행될 때 에러처리를 하기 위함

(ex: “This program connot be run in DOS mode”라는 메시지가 나타나는 경우가 있는데, DOS상에서 PE실행 이미지를 실행 시킬 수 없다는 의미 → 이 메시지를 출력하기 위해서 PE실행 이미지에는 작은 16bit DOS 프로그램을 포함)

-       헤더 안의 모든 포인터는 절대주소가 아닌 RAV값임

-       유용한 정보들은 PE헤더 안의 추가적인 데이터 구조체 배열인 DataDirectory 구조체 안에 포함됨

(1)   DOS 헤더

-       e_lfanew : 실제 PE 헤더를 가리키는 포인터

(2)   PE헤더

-       DOS헤더가 확장된 것임

●    임포트와 익스포트

-       실행 이미지의 동적링크를 가능하게 해주는 메커니즘

-       컴파일러와 링커는 임포트하는 함수의 실제 주소를 알지 못함 → 실행 시에만 알 수 있음

(임포트 테이블 : 실행 이미지가 사용하는 각 모듈목록과 그 모듈에서 사용하는 함수 목록의 정보가 저장되어 있음)

-       모듈이 모드될 때 로더는 임포트 테이블에 명시된 모든 모듈을 로드 함

-       로드한 각 모듈의 함수 목록에 있는 함수들의 주소를 산출

-       함수 주소는 임포트한 모듈의 익스포트 테이블을 통해 산출

(익스포트 테이블 : 해당 모듈이 익스포트하는 모든 함수의 이름과 RVA를 가지고 있음)

●    디렉토리

-       데이터 구조체

 [ PE파일 포맷의 디렉토리]

▣ Application Programming Interface(API)

-       API는 OS가 App과 통신하기 위해서 제공하는 함수 모음

■    Win32 API

-       로우레벨 프로그래밍 인터페이스 → 향후 하이레벨 인터페이스로 개발됨

-       계층적 구조 : 프로그래머들에게는 프로그래밍하기에 친숙하지만, OS는 모든 호출이 상위계층을 거치므로 다소 성능이 저하됨

-       윈도우에서 핵심적인 Win32 API는 약2,000개

[Win32 인터페이스 DLL과 커널 컴포넌트와의 관계]

●    Kernel API

-       Based API라고도 불리움

-       KERNEL32.DLL 모듈 안에 구현되어 있음

-       GUI와 관련되지 않은 서비스들, 즉 파일I/O, 메모리 관리, 객체 관리, 프로세스와 스레드 관리 등

-       NTDLL.DLL의 네이티브 API를 호출하여 다양한 서비스를 구현함

●    Native API

-       Window NT 시스템의 실질적인 인터페이스

-       Win32 API는 네이티브 API에 상위 계층일 뿐

-       그래픽 관련 서비스를 포함하지 않음

-       메모리 관리자, I/O 시스템, 객체 관리자, 프로세스와 쓰레드 등에 직접 접근할 수 있는 인터페이스 제공(윈도우 커널에 대한 가장 직접적인 인터페이스)

-       App 프로그램은 Win9x와 호환성을 유지하기 위해서 네이티브 API를 직접 호출하면 안됨

-       NTDLL.DLL(user mode 호출자를 위한)과 NTOSKRNL.EXE(kernel mode 호출자를 위한)에서 익스포트된 함수들의 집합

-       네이티브 API 이름은 항상 Nt, Zw로 시작됨

∙ Nt 버전 API : 해당 API를 실질적으로 구현하는 함수

∙ Zw 버전 API : 시스템 콜 메커니즘이 수행되는 함수

＃시스템 콜 메커님즘을 통해 커널 모드 API를 호출하는 이유?

→API를 커널 모드에서 호출한다는 것을 알려주기 위해서이다.

이런 구분 없이 API를 무작정 호출하면 자신이 유저 모드에서 호출되지는 커널 모드에서 호출되는 알 수 없게 된다. 유저 모드에서 커널 모드 API를 호출하면 유저 모드에서 호출했다고 판단해 유저 모드 주소를 포함하고 있는 모든 파라미터를 조사할 것이다. 이는 유저 모드에서 커널 메모리 주소를 전달함으로써 발생할 수 있는 시스템 충돌을 방지하기 위한 메커니즘이다.

-       커널에서의 작업이 완료되고 다시 유저모드로 되돌아갈 때 단순히 스택에 저장된 주소로 돌아감(따라서, 7ffe0304의 ret명령은 실제 실행되지 않음)