반응형
마땅한 샘플을 못찾아서..
글로만 설명하는 아주 지루한 시간이 되겠습니다.

저도 잘 못풀긴 하지만..
디버거를 자주 사용하지 않았던.. 사람들은 저보고 어떻게 푸냐고 묻습니다.

제가 푸는 방식은.. 순전히 제 경험에 의해 만들어진 것이기 때문에.. 설명드리기가 생각보다 쉽지 않습니다.
설명을 못한다는 것은 결과적으로 제가 모르는 것이기 때문에 다른 사람에게 설명을 할 수 있게끔 고민을 했었고..
그 방법을 설명을 해줬으나.. 제가 너무 어렵게 이야기 하는건지..
물어봤던 사람들이 디버깅에 관심이 없어서 못하는건지.. 다들 못하시더라고요 ^^;

일단!! 제가 설명해주는 Unpack을 하기 위해선.. 몇가지 선지식이 있어야 합니다.
1. Unpack 이란?
2. Unpack 원리
3. 일반적인 Stratup Code

이 정도 알면 많은 악성코드들을 Unpack 할 수 있을거 같네요. (그..그렇게 많이는 아닐지도요 ^^;)

방법은 아주 간단합니다.
1. OllyDBG 로 샘플을 Open 한다.
2. bp ExitProcess 또는 적절하게 코드가 다 풀릴때까지 실행한다.
3. 압축이 풀린 코드영역에서 일반적인 Startup Code에 자주 쓰이는 API를 검색한다.
4. Startup Code이기 때문에 그곳이 바로 Startup Function이며, 가장 상위에 있는 코드가 OEP일 것이다.

나머지는.. 심슨아저씨(Import REC)에게 부탁을 하거나 수작업으로 슥슥.. 처리해주시면 됩니다.

이 방식은.. 압축을 어떤 방식으로 했는지는 전혀 관계가 없는 방식입니다.
Unpack 코드를 확인하지 않기 때문에 어느정도 Hole 이 있는 방식이긴합니다.

하지만.. 쉽기 때문에.. 약간의 지식만 있다면 누구나 다 할 수 있는 방식이라고 생각하는데.. 아닌가요? ^^;




반응형

'작업공간 > Security' 카테고리의 다른 글

SQL 인젝션 취약점  (5) 2012.01.26
패킷에서 파일 추출하기 - 2  (2) 2011.12.29
Memory String  (0) 2011.12.29
AET  (0) 2011.10.31
TOP 100 Shells  (0) 2011.07.06
반응형
http://leech.nncedsign.com/re/unpacking/

난 스크립 쟁이~


반응형

'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글

Google Hacking  (0) 2010.12.22
PDF Stream Dumper  (0) 2010.12.18
pdf analy  (2) 2010.12.13
내가 쓰는 Firefox Add-On  (0) 2010.12.10
iPhone Forensics White Paper  (0) 2010.12.06
반응형

UnPacking Malicious Executables

요즘 Pentestit.com이 리뉴얼중인듯 싶네요

볼만한 자료가 상당히 많이 올라오고 있습니다... 이번에는 언팩 과정을 설정하고 있는 글이 올라와있어요..

처음엔 UPX.. 누구나 다 아는 내용이죠.. 이젠 국민패커라고 불러도 무방할 듯 싶어요...

하지만 중반 이후 나오는 패커는

언패킹을 UPX만 해본 사람이라면 생소할 것 같네요..

하지만 따라하기 쉽게 자세한 설명이 적혀 있으니 따라해보시는 것도 좋을 듯 합니다 ㅇ_ㅇ;;






반응형

'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글

3.1.3 탈옥  (0) 2010.05.03
Backtrack4 Metasploit framework3 Update  (0) 2010.03.29
Disassemble the MBR  (0) 2010.03.08
Shellcode to Execute a Ping!  (0) 2010.03.08
CentOS 서비스 데몬 확인 방법  (0) 2010.03.04

+ Recent posts