안티 리버싱 :: 03 - 안티 디버깅 예제

안티 디버깅에 대한 간단한 예제를 하나 살펴볼 것이다.

 

예제 문제는 lena 의 강좌 19편 Debugger detected and anti-anti-techniques 중 ReverseMe.A 이다.

(https://forum.tuts4you.com/files/file/1307-lenas-reversing-for-newbies/)

 

ReverseMe.A 

 

그냥 실행시키면 

이 뜨지만, ollydbg 로 디버깅을 시작하면

 

이 뜬다. 

 

디버거로 실행하고 있다는 것을 감지하고, 다른 메시지를 출력하는 것이다.

 

함수 CALL 을 살펴보면 IsDebuggerPresent 함수를 호출하는 것을 볼 수 있다.

 

 

IsDebuggerPresent 함수 : https://docs.microsoft.com/en-us/windows/win32/api/debugapi/nf-debugapi-isdebuggerpresent

 

- 리턴값 : 디버거로 실행한다면 0 이 아닌 값, 디버거로 실행중이지 않으면 0 을 리턴

 

즉, 이 함수가 디버거를 감지하고 1을 리턴하여 "keyfile is not valid. Sorry." 를 출력하는 것이다.

 

 

이를 해체하기 위해선, 함수 호출 내부로 들어가서 EAX 에 0 을 넣어주면 된다.

 

 

디버거를 통해서도 이 메시지 출력 성공 ~

 

 

다른 방법으로는 IsDebeggerPresent 함수 호출 자체를 무효화시키거나 (NOP), 

 

혹은 00401103 의 JE 를 JNZ 로 패치해도 디버깅을 할 수 있다. (다만 그냥 파일을 실행하면 반대의 결과가 나올 뿐..)