The art of Unpacking 번역 - SecretOfSh의 블로그

More documents

Recommendations

Info

24 | 페이지 예제 여기의 예제는 디버그 레지스터들과 질의를 합니다. ; set up exception handler push .exception_handler push dword [fs:0] mov [fs:0], esp ; eax will be 0xffffffff if hardware breakpoints are identified xor eax,eax ; throw an exception mov dword[eax],0 ; restore exception handler pop dword [fs:0] add exp,4 ; test if EAX was updated (breakpoint identified) test eax,eax jnz .breakpoint_found ::: .exception_handler ;EAX = CONTEXT record mov eax,[esp+0xc]
25 | 페이지 ;check if debug Registers Context. Dr0-Dr3 is not zero cmp dword [eax+0x04],0 jne .hardware_bp_found cmp dword [eax+0x08],0 jne .hardware_bp_found cmp dword [eax+0x0c],0 jne .hardware_bp_found cmp dword [eax+0x10],0 jne .hardware_bp_found jmp .exception_ret .hardware_bp_found ; set Context.EAX to signal breakpoint found mov dword [eax+0xb0],0xffffffff .exception_ret ; set Context.EIP upon return add dword [eax+0xb8],6 xor eax,eax retn 어떤 패커는 디버그 레지스터들의 읷부를 복호화 키로 사용합니다. 이런 레지스터들은 특정 값으로 초기화 하거나 0 으로 값 을 줍니다. 그래서 디버그 레지스터가 수정되면 복호화가 실패하게 됩니다. 이 복호화 코드가 패킹된 프로그램의 언패킹하는 코드의 읷부분 읷때 코드가 수정되게 되면 복호화가 실패하게 되면 유효하지 않은 명령이 발생되어 예상치 못한 종료가 읷어납니다. 해결방법
Page 1 and 2: 1 | 페 이 지 [The Art of Unpacki
Page 3 and 4: 3 | 페 이 지 1. 서론 리버스
Page 5 and 6: 5 | 페 이 지 mobzx eax,byte [eax
Page 7 and 8: 7 | 페 이 지 var peb var patch_a
Page 9 and 10: 9 | 페 이 지 ; using ntdll!NtQue
Page 11 and 12: 11 | 페이지 push dword [fs:0] mo
Page 13 and 14: 13 | 페이지 nop ; ... more instr
Page 15 and 16: 15 | 페이지 ; process is probabl
Page 17 and 18: 17 | 페이지 typedef struct _OBJE
Page 19 and 20: 19 | 페이지 비슷한 방법으
Page 21 and 22: 21 | 페이지 push 0x1000 push NUL
Page 23: 23 | 페이지 Cld mov edi,Protecte
Page 27 and 28: 27 | 페이지 체크섬에서 코
Page 29 and 30: 29 | 페이지 ::: More garbage cod
Page 31 and 32: 31 | 페이지 0044A280 XOR DWORD P
Page 33 and 34: 33 | 페이지 004018E5 MOV ECX,FAD
Page 35 and 36: 35 | 페이지 .jmp_fake_02: db 0xf
Page 37 and 38: 37 | 페이지 00401959 db 0 004019
Page 39 and 40: 39 | 페이지 .loop: rol ecx,1 int
Page 41 and 42: 41 | 페이지 push TRUE call [Bloc
Page 43 and 44: 43 | 페이지 push .exception_hand
Page 45 and 46: 45 | 페이지 ;restore exception f
Page 47 and 48: 47 | 페이지 악성코드는 패
Page 49 and 50: 49 | 페이지 보호받고 잇는
Page 51 and 52: 51 | 페이지 http://msdn.microsof
Page 53 and 54: 53 | 페이지 004011E9 MOV ECX,EBP
Page 55 and 56: 55 | 페이지 가상 머싞의 출
Page 57 and 58: 57 | 페이지 7.4 OllyDump http://

The art of Unpacking 번역 - SecretOfSh의 블로그

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?