cmpa 한글화 관련 테스트 해보실분
2023.11.12 18:30
X32dbg 에서 cmpa 한글화를 도와주는 스크립트를 만들었습니다
x32dbg 에서만 작동되는 스크립트 때문에 범용적으로 사용할수가 없습니다
그리고 winosinfo 프로그램에서만 테스트를 해보았기 때문에 다른 프로그램에서 작동은 장담 못합니다
사용법은 언팩된 파일에서 스크립트를 실행시켜 주시면 됩니다 패킹이 된 프로그램에서는 작동 되지 않습니다
스크립트실행후 완료된 파일은 c:\cmpa.txt 에 저장 됩니다
그리고 내부적으로 cmpa 적용된 여러파일이 있을경우 첫번째 파일에서만 저장합니다 첫번째를 제외한 나머지 파일은 저장 하지 않습니다
32bit 용 cmpa 프로그램에서만 작동됩니다 64bit cmpa 작동 되지 않습니다
다른 프로그램으로 테스트 해보실분은 댓글을 달아주세요
댓글 다신분에게 쪽지로 보내드리겠습니다
테스트 후 결과를 말씀해주세요
--------------------------------------
ㅋ0ㅌ ,sunshine, 왕초보 님의 도움으로 여러 파일을 테스트 해볼수 있었습니다
각각의 cmpa 를 스크립트 하나로 통합 적용시키지는 못했지만 cmpa 디코딩은 조금이나마 가능할것 같습니다
기존에 winosinfo 202 파일은 디코딩 실패를 했는데 여러 샘플을 테스트 해보니 답이 나오네요 테스트 해준분께 감사드립니다
댓글 [29]
-
지후빠 2023.11.12 21:31
-
지후빠 2023.11.12 23:13
Fail to Decrypt
좀 더 공부해보겠습니다.ㅠㅠ
-
광풍제월 2023.11.12 22:42
수고하셨습니다.
-
sunshine 2023.11.12 22:55
스크립트로 제작하셨군요.
수고하셨습니다.
----------------------
fail to decypt
-
夕影 2023.11.13 00:17
가능하시면 파일을 올려보세요
-
夕影 2023.11.13 02:10
cpma 패턴이 조금씩 다르네요
첨부된 파일로 해보십시요 첨부된 파일은 winosinfo 파일에만 적용할수 있습니다다른 파일에는 패턴이 각각 다르기 때문에 작동이 안됩니다
저장시에 같은 이름의 파일이 있으면 에러가 발생하기 때문에 파일 저장 위치와 형식을 바꿨습니다
파일 저장 위치는 x32dbg 가 설치된 \memdumps\ 폴더에 memdump_pid_addr_size.bin 형식으로 저장됩니다
스크립트가 실행되고 난후에는 메모리가 변했기 때문에 파일이 실행이 안됩니다 sccuess 메세지가 뜨면 x32dbg 를 닫아주세요
위 스크립트를 실행했을 경우 파일이 실행되지 않은 cmpa 파일은 찾을수가 없고 메인 스크립트 만 찾을수 있습니다다른 cmpa 파일을 찾기 위해서는 다른 cpma가 실행될때 메모리 주소로 조건을 걸고 실행해서 찾아 볼수 있습니다
-
sunshine 2023.11.13 12:11
WinosInfo_x86_unpack.exe 복호화 잘 됩니다.
-
왕초보 2023.11.12 23:07
멋지십니다...
저야 모르는 분야여서 도움이 되지를 못하지만...
이렇게 지식을 베풀어 주시는 마음에 감사드립니다
----------------------------------------------------------------------------------------
도움을 드리지 못하지만 윈포에서 고급 지식을 베풀어 주시는 마음에 감사글을 남긴것이었습니다
제가 잘 알지 못하는 프로그램이어서 제대로 한것인지를 잘 모르겠습니다
1. 못말리는짱구님께서 한글화를 해주셨지만 요즘은 활동을 안하고 계시네요..pecmd 명령어로 되어 있는 작품중에서 유명한것이어서
한번 테스트를 하여 보았습니다
2. 압축을 해제를 하였습니다..
3. x32dbg로 CGI x86 버전을 열어 보았습니다. 일시 중지됨이라고 표시가됩니다
4. txt 파일을 이렇게 불러오는곳이 맞는지요.. 우클릭 메뉴에서 실행을 하였더니 아래처럼 메세지를 보여줍니다
5. 완료메세지도 보여줍니다
6. 제가 잘알지 못하여서 정확히 한것인지를 모르겠습니다 오히려 민폐를 드리는것 같아 죄송합니다
-
夕影 2023.11.13 00:04
일단 2번째 화면에서 Mz header 와 Pe header 가 보는데 cmpa 가 아닐 가능성이 높습니다
그리고 x32dbg 영어판 기준으로 option - > preference -> system breakpoint 에 체크 해제 하시고entry break point 에 체크 하시기 바랍니다
가능 하시면 언팩된 파일을 올려주세요 제가 확인해 보겠습니다 -
왕초보 2023.11.13 00:14
사용법을 잘알지 못하면서 댓글을 남겨서 불편하게 해드린것 같습니다
설명을 해주신대로 진행을 해보겠습니다
-
夕影 2023.11.13 00:19
맞게 하셨습니다 확인해 보니 다른 패턴이네요 분석해 보겠습니다
-
왕초보 2023.11.13 00:21
1. 알려주신대로 확인을 하여보았습니다 다운 받아 설치한 그대로 입니다..체크가 되어있습니다
2. 설명을 바꾸고나서 프로그램 종료후 새로 실행을 하였습니다
3. 결과 입니다..
4. 밤이 많이 늦었습니다..좋은꿈 꾸시길 바랍니다..
-
夕影 2023.11.13 01:44
cpma 패턴이 조금씩 다르네요
첨부된 파일로 해보십시요 첨부된 파일은 cgi plus 파일에만 적용할수 있습니다다른 파일에는 패턴이 각각 다르기 때문에 작동이 안됩니다
저장시에 같은 이름의 파일이 있으면 에러가 발생하기 때문에 파일 저장 위치와 형식을 바꿨습니다
파일 저장 위치는 x32dbg 가 설치된 \memdumps\ 폴더에 memdump_pid_addr_size.bin 형식으로 저장됩니다
-
왕초보 2023.11.13 09:41
새벽까지 고생이 많으셨습니다...죄송스럽기만 합니다
새로 만들어주신것을 아주 잘됩니다...아주 귀한 선물입니다...아낌없이 지식을 베풀어 주셔서 감사합니다
1. 만들어 주신것으로 진행이 잘 되었습니다
2. 작업이 완료가 되었습니다
3. 말씀하신 폴더에 bin 파일이 만들어졌습니다..신기하기만 합니다
4. 메모장2를 사용하고 있어서 열어 보았습니다..아래처럼 보입니다..
그런데 이 현상은 제가 Windows7 x64를 사용하고 있어서 생기는 현상인것 같습니다
5. 혹시나에서 Win10 x64에서 새로 진행을 하고 bin 파일을 열어 보았습니다...아래처럼 잘 보입니다
윈도우 따라서 메모장 기능이 다른 부분이 있나 봅니다...저도 이번에 처음 알게 되었습니다
6. Win10에서 Bin으로 열은것을 ini에서 저장후 Win7에서 메모장2로 열어 보았습니다.
7. 글자 사이의 빈공간을 제거 한 결과 입니다..
8. CGI 소스를 이렇게 추출해서 볼수 있을거라고는 상상도 못했습니다
夕影님 덕분에 신기한 경험을 해 볼수 있고 소스도 얻을수 있습니다..정중히 머리숙여 감사인사를 드립니다
복 많이많이 받으십시요
-
夕影 2023.11.13 09:47
저장된 파일은 유니코드로 인코딩 되어 있습니다
빈공간을 제거하면 중국어 글자가 깨집니다
유니코드를 지원하는 에디터로 열어주세요
-
왕초보 2023.11.13 09:59
도움을 주셔서 감사합니다..
하나하나가 새로운 경험입니다...제가 실수를 했습니다..
힘찬 월요일이 되시길 바랍니다..
-
왕초보 2023.11.13 10:36
제가 잘 알지 못하여서 좋은것을 베풀어 주셨는데도 정확히 활용을 하지 못하여서 죄송합니다
알려주신 대로 Win10에서 확인을 하였습니다..아주 잘됩니다... 다시 한번더 감사인사 올립니다
1. Win10에서 메모장으로 bin 파일을 열때 인코딩을 2번처럼 UTF-16LF 설정으로 하였습니다
2. 중국어도 정상적으로 잘 보입니다..이제서야 올바르게 추출을 한것을 확인을 하였습니다...다 제가 부족해서 엉뚱하게
진행을 하였습니다..죄송합니다
3. Win10에서 저장후 Win7에서 메모장2로 열어 보았습니다 인코딩 설정이 아래처럼 되어 있어서 중국어가 잘보입니다
4. ini로 저장한것을 바로 로드하였더니 아래처럼 메세지가 나오네요
5. 이번에는 비어있는 pecmd.exe에 추출한 소스를 아래처럼 복사해서 붙여넣기로 추가를 하여보았습니다
6. 실행된 모습입니다..이제..중국어를 한글로하고 다듬기만 하면 될것 같습니다
한글화 부분은 이미 못말리는짱구님 작품이 있어서 하나씩 실행하면서 한글을 보면서 정리를 하면 보기가 좋을것 같습니다
7. 이런 날이 있을까 상상도 못했었습니다....夕影님께서 지식을 배풀어 주신 덕분에 이런날이 오네요.
夕影님께는 귀한 지식도 아낌없이 베풀어 주시는데...저는 그렇게 하지 못하는 부분이 있어서 부끄럽습니다
이미 너무 먼길을 엉뚱한 길로 가버렸고 마음이 좁아서 다시 와서 돌아갈수도 없는것이 못내 아쉽습니다.
夕影님 감사합니다
Bin 파일과 추출한 ini 파일입니다
-
ㅋ0ㅌ 2023.11.13 08:24
혹시 첨부 파일도 다른 패턴일까요?
-
夕影 2023.11.13 09:48
오후 쯤에 제가 확인해 보겠습니다
-
ㅋ0ㅌ 2023.11.13 10:29
이런 부분은 누구한테 배울 기회가 적어서 자꾸 요청하게 되네요. 감사합니다.
-
夕影 2023.11.13 20:15
drvindex 안에 101.bin 파일을 재공해 주신 Driver_Export_2.bin 으로 resource hacker 나 resource tunner로 교체하신후에
스크립트를 실행시켜 보십시요
파일 저장 위치와 형식을 바꿨습니다
파일 저장 위치는 x32dbg 가 설치된 \memdumps\ 폴더에 memdump_pid_addr_size.bin 형식으로 저장됩니다
-
방탄소년단 2023.11.13 09:17
...
REGI $HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation\SupportPhone=078.464.5829
...
-
sunshine 2023.11.13 10:14
1. cmpa1.11.txt로 CGI-plus_x86_test2.exe 복호화 테스트를 했습니다.: 잘 됩니다.
cmpa1.11.txt로 다른 CGI-plus 파일의 복호화가 잘 됩니다.
1) x96dbg.exe 실행 - 열기 - x32dbg 선택
2) 파일 - 열기 - CGI-plus_x86_test2.exe 선택 - 툴바의 [->]아이콘 1회 실행: push 60 으로 진행됩니다.
3) 즐겨찾기 - 즐겨찾기 도구 관리 - 스크립트 - 추가... - cmpa1.11.txt 열기 - 확인
4) 즐겨찾기 - cmpa1.11.txt 선택 - 우측 [스크립트] 탭이 열림 - [스페이스] 키 클릭: 성공 메시지가 표시됩니다.
5) x32dbg가 설치된 memdumps 폴더에 memdump_pid_addr_size.bin 형식으로 저장됩니다.
memdump_84_02DC8028_83ff2.bin -> 왕초보님이 올린 CGI-plus_x86_test2.exe를 복호화 한 파일입니다.
복호화 BIN 파일을 notepad2로 열고 [파일 - 다시 읽기 - 인코딩으로 - UTF-16LE]를 선택하면 문자가 깨지지 않고 잘 보입니다. 여기서 [모두 선택(Ctrl+A) - 복사(Ctrl+C) - 빈 곳에 마우스 우클릭 - 새로 만들기 - 텍스트 문서 - "새 텍스트 문서" 더블 클릭 - 붙여넣기(Ctrl+V) - 저장]하면 됩니다. 그리고 "새 텍스트 문서.txt" -> "새 텍스트 문서.bin"으로 확장자를 변경해야 리소스해커에서 로드할 수가 있습니다.
2. cmpa1.1.txt를 수정해서 WinosInfo_x86_unpack.exe 복호화 테스트를 했습니다.: 잘 됩니다.
- cmpa1.1.txt에서 아래를 제거하고 cmpa1.1-WinosInfo.txt로 저장합니다.
--------------------------------
findallmem imagebase,#518D45F850568D45EC894DF8508BCB897508E82B82F9FF668B08#
cmp $res,0
je error
addr = ref.addr(0)
magic2 = addr + 12
bp magic2
----------------------------
- 방법은 위 1번과 동일합니다.
- 저장 위치는 c:\cmpa.txt 입니다.
cmpa.txt -> WinosInfo_x86_unpack.exe를 복호화 한 파일입니다.
-
왕초보 2023.11.13 11:08
자세한 설명을 해주셔서 감사합니다..
저의 경우 메모장2로 bin 파일을 열면 정상적으로 보이지를 않네요..
메모장2는 입니다님께서 컴파일 한 버전과 exe로 컴파일된 상태로 자료실에 소개되는 2가지 버전이 있습니다. .둘다 같은 현상입니다
Win7 원래 메모장에는 인코딩 선택 4개중에 모두 선택을 해보았을때 Win10 처럼 깔끔하게 되지 않습니다
저처럼 Win7을 사용중이신분은 Win10이나 Win11 PE로 부팅후 윈도우 메모장으로 열고나서 ini로 저장을 하시면 될것 같습니다
참고만 하여 주십시요
1. Win7에서 메모장 인코딩 항목에서 선택을 해도 해도..Win10처럼 깨끗하네 나오지 않습니다
2. PE로 부팅을 하였습니다 메모장2입니다만 1번에 보시면 아이콘이 입니다님 버전과 다릅니다
bin 파일을 열었을때 아래처럼 나옵니다...인코딩을 변환을 하여 보겠습니다
3. 인코딩을 변환을 해도 비슷한 모습입니다
4. 윈도우 자체 메모장에서 인코딩 UTF-16LF로 선택후 bin 파일을 열어 보겠습니다
5. 중국어가 잘 보입니다
6. 윈도우 메모장에서 ini로 저장을 하였습니다. 저장한것을 메모장2로 열어 보았습니다 작업은 메모장2 하시는것이 편할것 같습니다
7. 혹시 저처럼 Win7을 사용중이시라면..추출한 bin 파일을 Win10, 11 PE로 부팅후 윈도우 메모장에서 열고 ini로 저장을 해보시면 깔끔
하게 보실수 있을것 같습니다..
참고만 하여 주십시요
-
夕影 2023.11.13 11:36
win7에서 추출된 파일을 emeditor 에서 인코딩을 설정 하여 열어 보십시요
-
왕초보 2023.11.13 11:54
윈도우 백업복원에 관련해서 배운것들만 알고 있고 윈도우 관련해서는 모른것이 많습니다
Win7에서 EmEditor로 Bin 파일을 열면 깔끔하게 잘 보입니다...Win10으로 부팅하거나 PE로 부팅을 하지 않아도 되어서 아주
편해졌습니다 감사합니다
1. 인코딩을 2번으로 설정을 하였습니다
2. 소스에 Null 문자가 있다고 안내를 해주고 있습니다...EmEditor가 세밀한 기능이 있나 봅니다
3. 계속 진행을 선택하였습니다
4. 소스가 중국어로 잘 보입니다..win7에서 바로 bin에서 소스를 추출할수가 있어서 편해졌습니다..다시 한번더 감사인사를 올립니다
5. 작업은 메모장2가 편할것 같습니다
-
입니다 2023.11.13 16:31
다시 읽기 후에 utf8 등으로 인코딩하면 잘 될 겁니다.
-
왕초보 2023.11.13 18:17
제가 사용법을 정확히 알지 못하여서 활용을 하지 못하였었던것이네요..자세히 설명을 해주셔서 감사합니다
Win7에서 실행하였습니다
1. 기본이 ANSI로 되어 있습니다
2. 이 메뉴를 활용을 해야하네요
3. UTF-16LE를 설정하였습니다..
4. 중국어가 이렇게 잘보입니다...다 사용법이 정확하지 않았던것이 문제였네요..
입니다님께서 컴파일하신 메모장2를 애용하고 있었는데..이제서야 정확한 사용법을 배운것 같습니다..입니다님 감사합니다
-
por 2024.03.30 16:24
최신 버전을 사용해 보세요.显示硬件信息工具_WinosInfo_2024.3.2908_Stable_64-32.7z
수고 많으셨습니다.
오랜 숙원인데 해결의 실마리가 보이는 것 같습니다.
어떻게 사용하는지는 모르지만 일단 신청합니다. ^^