securityfirst_jo

말그대로 툴...유투브에서 언팩 관련내용보다가 처음보는툴 나왔길래 궁금해서 겸사겸사 찾아봤는데 겁나 옛날 툴이네;; 여튼 러시아 블로그에서 퍼옴 ㅋㅋㅋ그러니 출처는..패스하겠음;

대략 프로세스에 인젝션시키고 프로세스 제어 관련 툴임

2243457.PUPE_2002_Suite.zip

난 풀었는데...스샷및 글쓰기 귀찮아서 그냥 비슷한 방법 찾아서 글올림. 전 POPAD로 해서 JMP 및 다른 메모리 주소로 이동되는거 해서 찾음...왜 아래 방법으로 안됐찌; 그냥 죽어버리던데...여튼 아래방법으로 된다함. 

--------------------------------------------------------------------------------------

UNPACK 순서

1. 올리디버거로 대상 프로그램 실행(ASPACK으로 패킹된)

2. MUP공식(?)으로 OEP를 찾은 다음 올리 덤프로 프로그램 덤프

3. IMPORT REC에서 원본 대상 프로그램을 실행하여 여 IAT를 찾은 후 덤프한 대상 프로그램에 덮어씌움

4. 덤프한 프로그램이 제대로 실행 되는지 획인 (UNPacking이 되었는지 확인)

1. 올리디버거로 대상 프로그램 실행

- 올리디버거를 실행하고 대상 프로그램을 불러옴

1) 경고 메시지가 나오면 확인을 누르고 코드 분석을 하겠냐는 메뉴에서 예를 누름

2. MUP공식(?)으로 OEP를 찾은 다음 올리 덤프로 프로그램 덤프

2) Step into (F7) 을 1번 누름

3) 레지스터 화면의 ESP를 선택하고 Follow in dump 를 누름

4) HEX 덤프 화면에서 ESP를 덤프한 것이 나오면 4바이트 (4칸)을 드래그 한 후

breakpoint => hardware on access ==> Dword를 선택함

5) Run (F8)을 누름

6) JNZ 로 시작하는 명령에서 실행이 멈춤

7) Step into (F7)을 2번 더 누름

8) Push로 시작되는 명령줄 밑 retn에 도달해 잇어야함

9) F7을 한번 더 누름

10) AS pack으로 암호화(?)된 문자열들 앞으로 이동함 (여기가 OEP)

11) Ctrl + A (Analyse Coed)를 누름

12) 코드가 제대로 보임

13) Plug in 메뉴에서 olly dump를 선택 한 후 modify 부분을 메모하고  Rubild import를 체크 해지후

Dump 버튼을 눌러 저장함 (임의의 이름으로 저장)

14) 올리 디버거를 종료하고 나옴

3. IMPORT REC에서 원본 대상 프로그램을 실행하여 여 IAT를 찾은 후 덤프한 대상 프로그램에 덮어씌움

15) 패킹된 원본(정상) 프로그램 실행

16) Import Rec를 실행하여 원본 프로그램을 로딩함

17) OEP 부분에 13에서 메모한 modify 주소를 넣고 IAT autoSearch를 누르고 Get imports를 누름

18) Imported Finctions Found에 IAT가 나옴

19) Fix dump를 누른 후 올리에서 덤프를 뜬 프로그램을 선택을 하여줌

4. 덤프한 프로그램이 제대로 실행 되는지 획인 (UNPacking이 되었는지 확인)

20) 덤프를 뜬 프로그램이 정상적으로 실행이 되는지 확인

21) 끝

IAT 난독화 시 올리디버거로 API복호화 후 지점까지 간 후 IAT덤프 툴로 덤프 후 올리디버거에서 포인트로 상대주소 가리키는 API 테이블 주소로 이동해서 해당 주소 값 계산 아래 아스키 주소 표시줄에서 ADDRESS 주소부분에 더블클릭하면 해당 주소부터 주소 까지 이동값 나오니까 IAT 덤프툴로 해당 시작주소부터 끝까지 한 범위를 넣어 다시 IAT 덤프 툴로 덤프 떠 준다

그러면 IAT 복원이 가능

이번에 후배에게 알게된 점프 이동 식 주소 계산법. (으 완전 예상못한 방법이여서 정리차 블로그에 올림)

코드는 아래와 같다. E9 456CFFFF 로 점프하게 되어있다. 하지만 올리로 보게되면 

JMP 00401000 이다. 주소 복호화 및 계산식없다. 이 코드자체에서 상대주소로 뛰게 되어있다.

카오스.....그리고 질문

계산식 : 

0040A3B6  - E9 456CFFFF     JMP     00401000

에서 456cffff을 바이너리로 calc에서 계산 후 해당 값이 마이너스로 표기 되었기 때문에 보수를 취해 양수로 바꾼다.

456CFFFF를 바이너리로 바꾼값 (계산할때는 FF FF6C45)

11111111111111110110110001000101

보수를 한 후 양수는 아래와 같은 바이너리로 바뀌고

00000000000000001001001110111010

해당 값을 16진수로 바꾸면 93bb가 된다. 

그다음 0040a3b6에서 진행되어 다음 바이트를 하게 되면 

40a3bb가 그 다음 주소이고 위에 구한 93bb만큼 빼면

401000 즉 oep가 나오게 된다. 

흔히들 IDA를 쓰게되면 HEXRAY위주로 보게되는데 

IDA 자체에도 직관적으로 볼수있는 방버이있다.(헥스레이 비슷)

단축키 F4

C++로 보여주기 때문에 이또한 보기 편하다. 

물론 헥스레이와는 약간 다른형태로 쓰여야 하는것으로 판단된다..확실히 헥스레이는 API함수들을 다 복호화 해서 보여주는데 이건 그냥 어셈코드를 컴파일해서 보여주는 형태다. 코드를 다르게 볼때나 헥스레이가 해석잘못할때보면 좋을듯하다

참고 : http://blog.naver.com/isentator/10183750934

퍼오기 귀찮아서 안퍼옴..위에 블로그에 내용 잘 설명되어있어서 코드보면서 이해하면 재밌음.

01-IsDebuggerPresent.zip

02-IsDebugged.zip

03-NtGlobalFlags.zip

04-CheckRemoteDebuggerPresent.zip

05-FindWindow.zip

06 HeapFlags.zip

몇가지는 위에 블로그에 있고 몇개는 없음. 참고

그리고 해당 코드들은 안티 리버싱 공부하려고 구한거임..제가 짠거 아니에요^^; 간단하게 안티리버싱 코드들만 있으니 어렵진 않을겁니다. 전 릴리즈된거 올리에 돌려보면서 코드 공부함. 

(소스는 메모장으로 이해)

아참 소스는 외국 사이트에서 퍼온걸겁니다. ㅎㅎ 유명한 개발자 사이트던데; 

즐리 되시길^^

아 자꾸 뭐 공부하면서 그거보다가 오호 하면서 딴거 내용 읽고 있네..ㅠ_ㅠ 아 엄청많구나 배울거와 흥미로운건

http://ssdeep.sourceforge.net/

뭐 WINDBG나 검색하면서 찾아보다가 다른블로그에서 찾은거..쓸만한것같은데...

해당 파일은 퍼징이라는 방법을 위한것이라는데..(솔직히 퍼징의 명확한 의미는 아직도 모르겠네...뭐 취약점 찾을때 쓰는 툴들을 말하는건지;...)

뭐 여튼 보니까 괜찮은것같다.

참고 : http://egloos.zum.com/ykei/v/4934460