코드엔진 basic 04번

파일을 실행해 보면 명령 프롬프트 창이 열리면서 정상이란 문자가 계속해서 나타나는 모습을 볼 수 있다.

이 파일을 디버깅하기 전에 PE View를 사용해서 Entry Point주소 값이 408370값 이란 것을 확인했고 올리 디버거를 실행하여 파일을 연 뒤 408370 주소까지 실행한다.

408370주소에서 메시지가 나올 때까지 실행하다 보면 40100F주소 이후에 디버깅 당함 이라는 메시지가 반복해서 나타나는 것을 확인할 수 있다.

40100F 주소에 브레이크 포인트를 설정 한 뒤 F7을 눌러 들어가면 주소 401030으로 점프 하는 구문이 나오는데 계속 실행하면주소의 IsDebuggerPresent의 결과 값을 eax에 저장 한 뒤 test를 사용하여 비교한 뒤 문자를 출력하는 것을 확인할 수 있었다. 그러므로 디버거를 탐지하는 함수는 IsDebuggerPresent이다.