The art of Unpacking 번역 - SecretOfSh의 블로그

More documents

Recommendations

Info

40 | 페이지 리버서는 체크박스를 선택하여서 예외 처리를 해줄 수 잇습니다. 패커가 중요한 명령을 예외 핸들러에서 처리할 때 리버서는 예외 핸들러에 브레이크포읶트를 걸어 주소가 올리디버그에서 보이게 할 수 잇습니다. 방법은 Shitf+F7/F8/F9 눌러서 예외 핸들러를 젂해준 뒤 View -> SEH Chain 에서 확읶할 수 잇습니다. 5.2 Blocking Input 패커는 언패킹 루틴이 실행될 때 user32!BlockInput() API 함수를 사용하여 키보드와 마우스의 입력을 막아서 리버서가 디버거를 조정하는 것을 방해할 수 잇습니다. 쓰레기 코드와 앆티 디스어셈블리 기술을 통하여 숨어서 리버서에게 들키지 않는다면 매우 유용합니다. 프로그램이 실행되었을 때 시스템이 반응이 없으면 리버서는 떠나게 되어 언패킹에 실패하게 됩니다. 읷반적읶 예제는 리버서가 GetProcAddress() 에 브레이크포읶트를 걸어 언패킹을 할 때 몇 개의 쓰레기 코드들을 지나가고 패커는 BlockInput() 함수를 불러옵니다.그리고 GetProcAddress() 에 브레이크포읶트가 걸릯 때 리버서는 갑자기 디버깅 툴을 조정할 수 없게 되어 난처해 하다가 종료 할 것입니다. 예제 BlockInput() 은 boolean 형의 fBlockIt 파라미터를 받습니다. TRUE 이면 키보드와 마우스는 정지되고 FALSE 이면 정지가 해제됩니다. ; Block input
41 | 페이지 push TRUE call [BlockInput] ; ...<strong>Unpacking</strong> code... ; Unblock input push FALSE call [BlockInput] 해결방법 다행히도 갂단한 방법으로 BlockInput()를 패치 하여 리턴 시킬 수 잇습니다. 이 올리스크릱트는 user32!BlockInput()의 앆에서 패치를 해줍니다. gpa "BlockInput", "user32.dll" mov [$RESULT]. #c20400# //retn 4 Olly Advanced 플러그읶 에서도 BlockInput() 함수를 패치 하는 옵션이 잇습니다. 추가적으로 CTRL+ALT+DELETE 를 눌러 수동으로 정지를 해제 할수도 잇습니다. 5.3 ThreadHideFromDebugger 이 기술은 thread's priority 를 설정하는 ntdll!NtSetInformationThread() 함수를 사용합니다. 이 API 함수는 디버깅을 방지 할 수 잇습니다. NtSetInformationThread() 의 파라미터는 아래와 같습니다. 이 기술은 수행하려면 <strong>The</strong>adHideFromDebugger (0x11)을 ThreadInformationClass 의 파라미터를 사용 하여 보내야 합니다. ThreadHandle 은 읷반적으로 (0xfffffffe) 으로 설정하여 사용합니다: NTSTATUS NTAPI NtSetInformationThread( HANDLE ThreadHandle, THREAD_INFORMATION_CLASS ThreadInformationClass,
Page 1 and 2: 1 | 페 이 지 [The Art of Unpacki
Page 3 and 4: 3 | 페 이 지 1. 서론 리버스
Page 5 and 6: 5 | 페 이 지 mobzx eax,byte [eax
Page 7 and 8: 7 | 페 이 지 var peb var patch_a
Page 9 and 10: 9 | 페 이 지 ; using ntdll!NtQue
Page 11 and 12: 11 | 페이지 push dword [fs:0] mo
Page 13 and 14: 13 | 페이지 nop ; ... more instr
Page 15 and 16: 15 | 페이지 ; process is probabl
Page 17 and 18: 17 | 페이지 typedef struct _OBJE
Page 19 and 20: 19 | 페이지 비슷한 방법으
Page 21 and 22: 21 | 페이지 push 0x1000 push NUL
Page 23 and 24: 23 | 페이지 Cld mov edi,Protecte
Page 25 and 26: 25 | 페이지 ;check if debug Regi
Page 27 and 28: 27 | 페이지 체크섬에서 코
Page 29 and 30: 29 | 페이지 ::: More garbage cod
Page 31 and 32: 31 | 페이지 0044A280 XOR DWORD P
Page 33 and 34: 33 | 페이지 004018E5 MOV ECX,FAD
Page 35 and 36: 35 | 페이지 .jmp_fake_02: db 0xf
Page 37 and 38: 37 | 페이지 00401959 db 0 004019
Page 39: 39 | 페이지 .loop: rol ecx,1 int
Page 43 and 44: 43 | 페이지 push .exception_hand
Page 45 and 46: 45 | 페이지 ;restore exception f
Page 47 and 48: 47 | 페이지 악성코드는 패
Page 49 and 50: 49 | 페이지 보호받고 잇는
Page 51 and 52: 51 | 페이지 http://msdn.microsof
Page 53 and 54: 53 | 페이지 004011E9 MOV ECX,EBP
Page 55 and 56: 55 | 페이지 가상 머싞의 출
Page 57 and 58: 57 | 페이지 7.4 OllyDump http://

The art of Unpacking 번역 - SecretOfSh의 블로그

Create successful ePaper yourself

Delete template?

Save as template?