PE x86 - RunPE ( Rootme )

Xin chào các bạn đến với blog của mình . Nay mình sẽ viết blog về cách bypass 1 challenge ctf của rootme - 1 nền tảng CTF của France .Challenge mà mình định làm hôm này sẽ là PE x86 - RunPE . 1 bài khá là thú vị sử dụng kỹ thuật process hollowing .

Link : https://www.root-me.org/en/Challenges/Cracking/PE-x86-RunPE

Nhìn sơ qua về thông tin của chall thì nó có 2 related và 1 statement nói về RunPE

Chúng ta thử chạy nó thì nó sẽ thông báo thế này

Ném file đó vào delect it easy để có cái nhìn sơ lược về nó

Nhìn qua chúng ta có thể thấy nó thông báo là đã bị pack bằng UPX . Sử dụng tool UPX để giải nén nhưng nó không hoạt động . Khi

Ném nó vào IDA pro để có cái nhìn tổng quát hơn . Khi nhìn qua qua từ trên xuống dưới trông khá là khó hiểu . Nó gọi 1 loạt các hàm giống nhau tính toán decrypt các byte làm gì đó có vẻ theo 1 quy luật gì đó

Chúng ta sẽ debug và quan sát xem nó làm gì . Ở offset 00402FB4 nó call eax . Đặt breakpoint tại đây quan sát memory và các thanh ghi

Chúng ta có thể thấy nó gọi tới địa chỉ của api VirtualAlloc của kernel32 .Thêm quan sát cả những đoạn bên dưới thì mình đoán rằng nó sẽ thực hiện thế này . Trong kỹ thuật RunPE hay còn gọi là là process hollowing thì nó sẽ hay sử dụng các API như VirtualAlloc , WriteProcessMemory , CreateRemoteThread , GetThreadContext/SetThreadContext , ResumeThread , WaitForSingleObject . Vậy nên các hàm kia sẽ có nhiệt vụ là tính toán và giải mã để gọi tới địa chỉ các API kia trên kernel32