Unlockexe

https://github.com/huntandhackett/concealed_code_execution/tree/master/Tampering

 

실행중인 exe파일은 보호를 하기위해 파일이 잠김.

하지만 위  UnlockExe를 빌드에서 사용하면 잠금을 해제할 수 있음.

 

 

NTFS 파일 시스템에 파일의 추가적인 정보를 저장할 때 사용되는 영역인 ADS를 악용? 이용하는것

 

1. ADS에 원본 데이터를 백업

2. 원본 데이터는 삭제

3. ADS에 저장된 원본 데이터를 다시 불러오기

 

이러한 과정을 거치면 잠김해제 이외의 변화는 없음.

 

실제로 잘 되나 실험해봄

위 코드는 pid를 입력하고 해당 pid 프로세스의 경로를 가져오고 그 경로에 있는 파일을 r+로  열었을 때 실패하면 잠겨있고, 가능하면 안잠겨있다는 문구가 떠야함.

 

 

 

1. 지뢰찾기를 미리 실행시킨 상태에서 지뢰찾기의 pid를 입력해서 잠겨있다는 문구를 확인

2. unlockexe를 사용해서 지뢰찾기 파일의 잠김을 해제함

3. 다시 pid 입력해서 안 잠겨있다는 문구를 확인