본문 바로가기
Reverse Engineering/리버싱 핵심 원리

1부 Visual Basic

by Ken out of ken 2025. 1. 1.

들어가기 앞서...

솔직히 말하자면 VB를 배우는게 과연 장기적으로 도움이 되는가? 라는 생각이 들었다

하지만 책의 내용이 오래 되었으며 앞으로 남은 내용들이 VB 기반이라고 하였을때 익혀는 둬야 겠다는 생각이 들었다


Description

위의 프로그램에 대한 크랙을 만들어본다

 

위의 프로그램은 VB로 만들어졌으며 VB의 구조에 대해서 알아보는 시간을 가진다

Key Features

Engine

VB 파일은 MSVBVM60.dll ( Microsoft Visual Basic Virtual Machine, a.k.a.The Thunder Runtime Engine ) 이라는 VB 전용 엔진을 사용한다

 

MsgBox() 함수를 예를 들어보자

VB 소스코드에서 MsgBox() 함수를 VB 컴파일러가 MSVBVM60.dll!rtcMsgBox() 함수가 실행되도록 하며 이 함수 내부에서 Win32 API인 user32.dll!MessageBoxW() 함수를 호출해주는 방식으로 동작한다

혹은 VB 소스코드에서 user32.dll!MessageBoxW() 함수를 직접 호출할 수도 있다

Native code, Pseudo code

컴파일 옵션에 따라 N code, P code로 컴파일이 가능하다

  • N code
    • 일반적인 디버거에서 해석 가능한 IA-32 instruction 사용
  • P code
    • VB엔진으로 가상 머신을 구현하여 소스 코드를 기계어로 변환하지 않고 중간 언어로 변환
    • 이 중간 언어는 CPU에서 직접 실행되지 않고 MSVBVM60.dll 같은 런타임 환경(인터프리터)에서 실시간으로 해석하고 실행
    • 완전한 해석을 위해서는 VB 엔진을 분석하여 에뮬레이터를 구현해야함

 

Event Handler

Windows OS의 Event Driven 방식으로 동작하여 main(), VinMain()에 사용자 코드가 존재하는 것이 아닌, 각 event handler에 사용자 코드가 존재한다

 

undocumented 구조체

VB에서 사용되는 각종 정보들 (Dialog, Control, Form, Module, Function ...)은 내부적으로 구조체 형식으로 파일에 저장된다

하지만 Microsoft에서는 이러한 구조체 정보를 정식으로 공개하지 않았기 때문에 VB 파일의 디버깅에 어려움이 존재

 

Start debugging

 

00401232 | FF25 A0104000  | jmp dword ptr ds:[<Ordinal#100>]   | 
00401238 | 68 141E4000    | push abexcm2-voiees.401E14         | Entry point
0040123D | E8 F0FFFFFF    | call <JMP.&ThunRTMain>             | VB엔진의 메인함수 호출

 

Entry point인 00401238이 스택에 RT_MainStruct 구조체 주소 (401E14)를 스택에 넣고 VB 엔진의 메인 함수인 ThunRTMain() 함수로 JMP를 하는 것을 볼 수 있다

이는 간접호출 기법으로 VC++, VB 컴파일러에서 많이 사용한다

 

ThunRTMain() 함수로 진입을하면 메모리 주소가 완전히 달라지는 것을 볼 수 있는데 이는 MSVBVM60.dll 모듈의 주소 영역으로 지금은 분석할 필요는 없다

문자열 검색 기능을 이용해서 우리가 처음에 본 문구를 찾아보자

( VB엔진에 들어가서 헤메지말고 엔트리포인트에서 찾아야 한다... )
Wrong serial!

Nope, this serial is wrong!

# 여기를 찍고 스택에서 덤프 따라가기를 하면
00403321 | 8D55 BC   | lea edx,dword ptr ss:[ebp-44] |

# 이러한 덤프 주소가 나오는데
0019F274    08 00 00 00 | 64 F2 19 00 | `CC 32 6A 00` | 1C F2 19 00 | ....dò..Ì2j..ò.. 
0019F284    08 00 00 00 | 64 F2 19 00 | `D4 30 6A 00` | 1C F2 19 00 | ....dò..Ô0j..ò.. 

# `` 로 강조한 부분만 다른것 을 볼 수 있다
# VB의 문자열은 C++의 string 클래스와 마찬가지로 가변 길이 문자열로
# 문자열이 바로 나타나지 않고 16바이트 크기의 데이터가 나타난다
# 강조한 부분은 마치 메모리 주소처럼 보이는데
# 가변 길이 문자열 타입은 내부에 동적으로 할당한 실제 문자열 퍼버 주소를 가지고 있다

 

dump window에서 우클릭 -> 주소(A)를 누르면 다음과같은 화면을 얻을 수 있다

찾았다!

 

이를 통해 알 수 있는 것은

EDX ( 0019F27C )는 실제 serial 값이고 EAX ( 0019F28C )는 사용자가 입력한 serial 값임을 알 수 있다

실제로 값에 있는 주소값을 찾아가보면 실제 문자열을 확인할 수 있다

실제 문자열

 

 

실제 문자열을 입력해보면...

성공!

 

실제 예제와 시리얼 코드가 다른데 이는 내부에서 이름에 따라 맞는 시리얼 코드가 생성되기 때문이다

실제로 책에 나와있는대로 ReverseCore를 이름으로 입력하면 시리얼 넘버가 다르다고 나온다


RT_MAINSTRUCT

VB의 실행 파일이 실행될 때 런타임에서 생성되는 구조체로 다음과같은 정보들이 있다

  • 런타임 버전 정보
  • 스택포인터, 힙 관리 정보
  • P code 인터프리터 상태
  • 전역 변수 테이블 및 초기화 상태
  • 에러 핸들러 상태 정보
  • 모듈 및 객체 관리 정보

 

관련글

티스토리툴바