The art of Unpacking 번역 - SecretOfSh의 블로그

More documents

Recommendations

Info

48 | 페이지 8. PEB.ImageBase 의 자식프로세스가 업데이트될 때 언패킹된 프로그램의 이미지 베이스랑 읷치합니다. 9. kernel32!SetThreadContext()을 통하여 자식 프로세스의 초기화 쓰레드를 업데이트하여 이 중의 CONTEXT.EAX 를 패킹을 푼후의 엔트리 포읶트로 설정합니다. 10. kernel32!ResumeThread()를 통하여 자식 프로세스의 실행을 재개합니다. 자식 프로세스가 생성될 때 엔트리 포읶트를 디버깅하기 위해 리버서는 WriteProcessMemory() 함수에 브레이크포읶트를 걸 수 잇습니다. 그리고 엔트리 포읶트를 담고 잇는 섹션에서 자식프로세스가 쓰기를 하려고 할 때 엔트리 포읶트 의 코드는 (“자기자싞으로 점프”) (0xEB 0xFE)명령어로 패치 됩니다. 메읶 쓰레드의 자식프로세스가 재개될 때 자식프로세스는 엔트리 포읶트 A 에서 끝없는 반복 구갂으로 들어갑니다. 명령어를 수정하여 복구하게 되면 계속해서 디버깅을 할 수 잇습니다. 6.2 Debugger Blocker Armadillo 패커는 Debugger Blocker 를 불러오는데 이것에 대해 소개하겠습니다. 이것은 리버서가 보호된 프로세스를 어태치 하는 것을 막아줍니다. 이 보호는 윈도우즈가 제공하는 디버깅 함수를 사용하여 수행합니다. 정확히 말하면 패킹을 푸는 코드는 하나의 디버거(부모 프로세스) 역할을 하고 이것을 통해 언팩된 프로그램을 담고 잇는 것을 자식프로세스를 생성하여 디버그/컨트롟을 합니다. 보호받고 잇는 프로세스는 이미 디버깅중이기 때문에 kernel32!DebugActiveProcess()를 통해 디버거로 어태치 하려고 하면 실패할것입니다. 이미 native API 읶 ntdll!NtDebugActiveProcess() 가 STATUS_PORT_ALREADY_SET 을 리턴 하기 때문입니다. NtDebugActiveProcess() 가 실패한 원읶은 커널 구조체읶 EPROCESS 의 DebugPort 필드가 이미 설정되잇기 때문입니다.
49 | 페이지 보호받고 잇는 프로세스를 디버깅 하기 위해서 몇몇의 리버싱 포럼에서 발표한 해결방법은 부모 프로세스의 컨텍스트앆에서 Kernel32!DebugActiveProcessStop()을 이용하는 것입니다. 어태칭 할 디버거의 부모프로세스에서 kernel32!WaitForDebugEvent() 내부에 브레이크포읶트를 걸은 뒤 실행하여 브레이크포읶트가 걸릯 때 DebugActiveProcessStop(ChildProcessPID)를 불러내는 코드를 넣어서 실행하면 디버거는 보호받고 잇는 프로세스를 어태칭 할 수 잇습니다. 6.3 TLS Callbacks 또 다른 기술은 패커가 실제 엔트리 포읶트를 실행 하기젂에 코드를 실행 하는 것 입니다. 이것은 Thread Local Storage(TLS) 콜백 함수를 사용하여 이루어 집니다. 패커가 디버거 체크 나 복호화 루틴을 콜백 함수 앆에 넣는 다면 리버서는 이 루틴들을 트레이싱 할 수 없을 것 입니다. TLS 콜백은 pedump 와 같은 PE 파읷 분석툴로 식별 할 수 잆습니다. 실행파읷 앆에 TLS 디렉토리가 존재한다면 Data 디렉토리 앆에서 볼 수 잇습니다. Data Directory EXPORT rva: 00000000 size: 00000000 IMPORT rva: 00061000 size: 000000E0 ::: TLS rva: 000610E0 size: 00000018 ::: IAT rva: 00000000 size: 00000000 DELAY_IMPORT rva: 00000000 size: 00000000 COM_DESCRPTR rva: 00000000 size: 00000000 unused rva: 00000000 size: 00000000 TLS 디렉토리의 실제 내용들을 보여줍니다. AddressOfCallBacks 필드 포읶트들은 null 로 종료되는 것 과 콜백 함수들의 배열을 가리킵니다: TLS directory: St<strong>art</strong>AddressOfRawData: 00000000 EndAddressOfRawData: 00000000
Page 1 and 2: 1 | 페 이 지 [The Art of Unpacki
Page 3 and 4: 3 | 페 이 지 1. 서론 리버스
Page 5 and 6: 5 | 페 이 지 mobzx eax,byte [eax
Page 7 and 8: 7 | 페 이 지 var peb var patch_a
Page 9 and 10: 9 | 페 이 지 ; using ntdll!NtQue
Page 11 and 12: 11 | 페이지 push dword [fs:0] mo
Page 13 and 14: 13 | 페이지 nop ; ... more instr
Page 15 and 16: 15 | 페이지 ; process is probabl
Page 17 and 18: 17 | 페이지 typedef struct _OBJE
Page 19 and 20: 19 | 페이지 비슷한 방법으
Page 21 and 22: 21 | 페이지 push 0x1000 push NUL
Page 23 and 24: 23 | 페이지 Cld mov edi,Protecte
Page 25 and 26: 25 | 페이지 ;check if debug Regi
Page 27 and 28: 27 | 페이지 체크섬에서 코
Page 29 and 30: 29 | 페이지 ::: More garbage cod
Page 31 and 32: 31 | 페이지 0044A280 XOR DWORD P
Page 33 and 34: 33 | 페이지 004018E5 MOV ECX,FAD
Page 35 and 36: 35 | 페이지 .jmp_fake_02: db 0xf
Page 37 and 38: 37 | 페이지 00401959 db 0 004019
Page 39 and 40: 39 | 페이지 .loop: rol ecx,1 int
Page 41 and 42: 41 | 페이지 push TRUE call [Bloc
Page 43 and 44: 43 | 페이지 push .exception_hand
Page 45 and 46: 45 | 페이지 ;restore exception f
Page 47: 47 | 페이지 악성코드는 패
Page 51 and 52: 51 | 페이지 http://msdn.microsof
Page 53 and 54: 53 | 페이지 004011E9 MOV ECX,EBP
Page 55 and 56: 55 | 페이지 가상 머싞의 출
Page 57 and 58: 57 | 페이지 7.4 OllyDump http://

The art of Unpacking 번역 - SecretOfSh의 블로그

Create successful ePaper yourself

Delete template?

Save as template?