securityfirst_jo

외국 사이트에서 퍼온거...unpacking 자료로 혹시 모르니...간단히 말하면 

처음에 esp에 하드 bp 걸고 해당 코드에서 코드 어널라이즈 걸고 VirtualAlloc 부분이나 올리에서 메모리부분 확인하면 될듯....근데 얘가 삽질했다고 하니까 왜 같이 웃지;;젠장 왠지 삽질한게 헛웃음나는게 공감이 가나 ㅋㅋㅋ 

여튼 해당 packing 샘플은 없고 나중에 혹시 해당 언팩 하게되면 참고용

패스워드 없음. ie에서 실행되는 swf 파일임

PC Guard 5.07 (Unpacking).rar

퍼온곳 : http://codetronik.tistory.com/61

미친 악성코드 vmprotecet랑 더미다랑 요즘 다시 유행하네...아우 

본 포스팅은 LCF-AT가 TUTS4YOU에 공개한 Themida - Winlicense Ultra Unpacker 1.4 스크립트를 가지고 매뉴얼 언패킹 하는 것을 다룹니다. 

아래 URL에 더 자세하고 많은 내용이 있습니다.

https://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-14/

준비물

OllyDbg 1.0 

ODbgScript / StrongOD / Phant0m 플러그인

 ODbgScript.1.82.rar PhantOm Plugin v1.85.rar StrongOD v0.4.8.892.rar

언패킹 스크립트 / ARImpRec.dll 

 ARImpRec.dll Themida - Winlicense Ultra Unpacker 1.0.txt

1. 디버깅 옵션에서 처음 정지될 포인트를 수정합니다.

2. 플러그인 옵션을 수정합니다.

3. 스크립트에서 DLL 경로를 수정합니다. 

4. 샘플을 로드 한 후 (F9로 실행 금지) 플러그인에서 스크립트 창을 띄운 후 실행합니다.

5. 중간에 call LOG_START가 나오면 Resume합니다.

6. EFL을 어디서 체크할 것인지 묻습니다. WinLicense 안에서 할건지 밖에서 할건지

여기선 472DF9에 있으므로 Yes(안) 를 누릅니다. (WinLicense : 470000 (size : 1F80000)

6. 다이렉트 API 점프를 FIX할 것인지 묻습니다. 처음엔 NO, 추후 실패하면 Yes를 누릅니다.

7. 언패킹에 성공하면 성공 메시지가 뜨면서 코드가 복원됩니다.

Codetronik __ 더미다 언패킹 따라하기 Themida - Winlicense Ultra Unpacker 1.pdf

----------------------------------------------------------------------------

우히...저 위대로 안되서 다른 themida 보는방법이랑 섞어서 해봤더니 풀리네..ㅋㅋㅋㅋㅋㅋ 오예오예~~ 추가적으로 했던 방법은 나중에 이미지 떠서 올리겠습니다~캬캬캬캬캬캬캬 기분좋군

아참 추가로 있는 pdf는 혹시 자료 지워져서 이미지 날라가면 아까워서 따로 저장해둔겁니다. 위에 사이트랑 같은정보입니다.

설정 부분 옵션 변경 사항. 그리고 추가적으로 찾는방법은 또 나중에...아 요즘 드럽게 바쁨;;;ㅠㅠ

추가 더미다 스크립트최신 2.0

ThemidaOEP.7z

버젼은 옛날버젼이지만..우선 동영상과 요즘 버젼이랑 보면 비슷한 부분이 있다. 조금씩 참고해서 해봐야겠따..

이런 젠장 드럽게 어렵네 젠장 모르면 계속 보면서 이해해야지뭐 ㅋㅋ

VMProtect1.70.4(Unpacking).rar

Unpacking of a VMProtect Boxed dll.rar

IAT 기준으로 IDA에서 해당 분석 정보 확인하는 방법 

올리에서 다음과 같이 LONG -> ADRESS로 바꾸면 IAT 테이블의 이름들이 보이고, ADDRESS에 더블클릭을 하면(주소부분에) 해당 부터 EP계산으로 주소같을 표현해준다. 

(이미지가 좀 커서 잘 안보이지만 표시해두었으니 보면 보인다.) 해당 IAT 테이블에서 해당 EP기준으로 바꾸었을시 IDA에서 보면 a3+0xXX 값이 보인다, 이렇게 복구되지 않은 IAT테이블을 확인할 수 있다. 

물론 올리디버거에서 해당 주소로 가면 자동으로 IAT 테이블이 복구되어서 볼수 있긴하다, 다만 이러한 방법을 알고있다면 언제가는 또 유용하게 쓰일 수 있을 것이다. 걍 이런방법도 있다는것을 남기기 위해 쓴다.

이거 외에도 올리디버거로 다 돌리고 해당 IAT 테이블을 강제로 심슨으로 덤프떠버리는 방법도 있긴한데...이게 될때 있고 안될때 있긴하다. 고로 방법은 여러가지 알아두면 좋다. 

ㅋㅋ 나뭇잎책에 있는 거네....사야하나; 옆에 사람한테 잠깐 빌려서 봣는데 있네 내용...하하...

뭐 문서보면 비슷하긴한데 올리로 좀더 상세히 설명되어잇으니 나뭇잎을 보던 이걸 보던 알아서 ㅋ 근데 나뭇잎 책 정말 잘만들었구나 리버싱내용 ㄷㄷㄷㄷ(참고로 문서는 제가 만든게 아니라 어디서 블로그에서 가져온거라 합니다.)

이번엔 특정 악성코드를 보면서 재밌는놈들 발견했다. 근래??예전에도 있을 수 있었지만..

해당 파일은 Service로 호출되어 동작하는 dll파일로 서비스로 동작 시 일반적으로 악성코드는 스레드를 생성하거나 새로운 메모리 공간을 할당하여 그곳에 악성기능을 하였다. 

근데 이번에 확인된것은 service 호출다음 vmprotect로 팩킹되어있는것으로 추정되었다.(이유 섹션 부분에 vmp0) 그래서 해당 Service 메인코드를 정상적으로 다 타고 들어가야한다. 하지만 이러한 서비스를 호출하는 방법은 svchost.exe -k 뭐라뭐라 하는 서비스를 시작시키는 프로세스로 인해서 attche 및 올바르게 적용하는 방법이 딱히 없다고 생각되었다. 근데 누가 썼는지 모르지만. 공유된 자료에서 해당 방법에 대한 접근방법을 찾았다. 우리가 드라이버 분석할때 0xcc를 ep부분에 변경하여 분석하는것처럼 올리도 그러한 방법으로 가능하였떤것이다!!!! 오 신기신기..그부분에 추후에 정리하여 올리도록 하겠다. 

- IDA 로 본 Servicemain 코드

- pe view로 본 파일의 PE 구조

해결방법....아래 문서에 나와있음

DLL 분석방법.docx

vm 팩킹은 걍 풀수있으니 패스~~~~ㅋㅋㅋ VirtualAlloc 하면 풀려서 정상코드 나옴

-----------------------------------------------------------------------------

아 이방법 강추...뭐 2~3번 하길 추천하지만..cc하지말고 여러번 돌게하는거에다가 올리디버거 인젝션 걸어서  mem 보면 해당 로드되는 주소 아이다랑 peview랑 hex 뭐였찌  아무튼 헥스랑 보는거 계산식 떼려서 bp 걸면 서비스 메인에서 무조건 걸림...ㅋㅋ 어제본(2015/09/02) 서비스 거는 dll에서 완벽하게 걸림..ㅋㅋㅋ 서비스 dll은 끝 

SSView.zip

한글 문서 분석할때 유용한 툴

참조 : http://hidka.tistory.com/entry/Analysis-Tool-Structured-Storage-ViewerSSView

말 그대로 칼럼

ㅎㅎ

Packing 구조에 대한 이해 (2).DOCX

젠장...다음꺼는 뭐로하지 ㅎㅎ