안티 리버싱 :: 01 - 안티 리버싱이란?

안티 리버싱 (Anti-Reversing) 이란?

 

리버싱을 방해하고 분석을 방해하는 기술

 

안티 리버싱 기법에는 안티 디버깅, 안티 디스어셈블링, 안티 템퍼링, 코드 암호화 난독화 등이 있다.

 

안티 리버싱이 상위 집합이고, 하위 집합으로 안티 디버깅, 안티 디스어셈블링, 안티 템퍼링 등으로 나뉘는 것이다.

단지 안티(~에 반대되는/~를 방지하는) 의 레벨이 디버깅 / 디스 어셈블리 / 메모리 레벨인지에 따라 분류되는 것이다.

이런 기법뿐 아니라 코드를 암호화시키는 것도 리버싱을 방해하는 것이므로 안티 리버싱의 일종으로 보면 된다.

 

- 안티 디버깅: 프로그램을 실행하면서 분석하는 디버깅을 방지

- 안티 디스어셈블링: 프로그램을 실행하지 않고 코드와 구조를 분석하는 디스어셈블링을 방지

- 안티 템퍼링: 메모리 조작 방지

- 안티 메모리 덤프: 메모리 덤프를 통해 크리덴셜 탈취 방지

- 안티 메모리 패치: 실시간 메모리 패치로 프로그램 로직을 조작하는 것을 보호

- 안티 모니터, 안티 API 스캔: API 분석으로 프로그램의 기능 파악을 방지

- 암호화: 중요 데이터 보호

- 코드 가상화 및 코드 난독화: 코드 분석을 어렵게 함

 

(출처: https://m.blog.naver.com/sky00141/221863814879)

 

 

(이런 안티 기법들은 업체마다 기법을 부르는 이름이 각양각색이다)

 

안티 기법들은 개발자가 프로그램을 보호하기 위한 노력 vs 리버서가 리버싱 작업을 성공하려는 노력

 

의 싸움에서 새로운 안티 기법들이 생기고, 그에 따른 새로운 우회 방법들이 생기며 발전 중이다.

 

 

 

가장 가까이에서 발견할 수 있는, 안티 리버싱 기술이 적용된 예는 카카오톡 등의 프로그램이다.

 

 

ollydbg 를 깔고 실행하면 카카오톡이 자동으로 꺼진다.

실행하려고 카카오톡을 누르면 이 경고문이 나오면서 실행되지 않는다.

 

당시에는 그저 둘이 같이 쓸 수 없구나, 하고만 알았는데 안티 리버싱을 배우고 나니 이것 역시 안티 리버싱의 일종이라는 것을 알게 되었다.

(그리고 서치해보니까 여러 다양한 이유로 이 경고문이 뜨는 것을 보아.. 보안이 잘 되는구나 라는 생각이..

심지어 신종 바이러스 중 백신을 피하기 위해 themida 로 패킹하는 경우도 있다고 하니....)

 

해당 경고문의 주범인 Themida 은 응용 프로그램을 보호해주는 보안 프로그램이다.

카카오톡 뿐만 아니라 은행 등의 중요한 프로그램에서 주로 쓰이는 패킹 도구이다.

 

 

** 패킹이란?

2020/08/05 - [SECURITY/REVERSING] - 안티 리버싱 :: 06 - 코드 난독화, 패킹

 

 

리버스 엔지니어, 크래커, 어택터 등으로부터 프로그램이 분석/공격/크랙당하지 않기 위해 방어막을 설치하는 것이라고 보면 된다.

언팩하기가 굉장히 까다롭고 어려운 프로그램이다.

 

 

 

앞으로 이런 프로그램과 더불어 위에 기술한 안티 리버싱 기법들을 살펴볼 것이다.