안티 리버싱 :: 05 - 안티 디스어셈블

SECURITY/REVERSING 2020. 8. 5. 17:00

안티 디스어셈블은 디스어셈블러를 속여 실제 실행과 다른 명령어들을 이용해 디스어셈블러가 혼동을 일으키게 만든다.

디스어셈블러의 가정(assumptions)과 제약(limitations)을 이용하여, 교묘히 조작해서 유효한 명령을 디스어셈블러에게서 숨길 수 있다.

디스어셈블러는 한 번에 명령어 하나로 바이트를 표현하기 때문에 이런 오프셋을 이용하면 된다.

즉, 같은 바이트 코드들이라도 디스어셈블러에 따라 다른 결과를 낼 수 있다. 이 점을 이용한 것이 안티 디스어셈블!

따라서 어떤 디스어셈블러(IDA, Ollydbg 등)를 이용하는지에 따라서 올바르게 인식할수도, 아닐수도 있다.

" The disassembly examples show two completely different sets of instructions for the same set of bytes. "

디스어셈블 도구에도 두 종류가 존재하는데,

선형 디스어셈블러(linear disassembler) 와 흐름 중심 디스어셈블러(flow-oriented disassembler) 이다.

선형 디스어셈블러는 말 그래도 opcode 를 하나하나 번역하는 것이다.

반면, 흐름 중심 디스어셈블러는 분기문을 고려하면서 번역하는 것이다.

이런 특성을 이용해서 안티 디스어셈블을 할 수 있다.

1. xor , jz xxxxxxxx+1;

: jz/jnz 와 0xe9 (jmp) / 0xe8 (call) 을 적절히 배치한다.

ida 와 같은 흐름 중심 디스어셈블러에서 이 기법이 유용하게 쓰인다.

흐름 중심 디스어셈블러는 JNZ/JZ 가 있으면 false branch 를 먼저 살펴본다.

JNZ/JZ Conditional -> False Branch -> True Branch

이 코드를 보면 xor eax, eax 를 한 후 jz 를 한다.

xor eax, eax 를 하면 언제나 결과가 0 이므로 ZF 는 1 로 set 되고, 때문에 jz 는 무조건 분기가 된다.

그런데, 앞서 말했듯 흐름 중심 디스어셈블러는 jz 에서 false branch 를 먼저 본다.

때문에 00401024 인 8B 로 넘어가버리는 것이 아니라 false branch 인 E8 로 먼저 가버린다.

0xe8 은 OPCODE 로 call 이므로,, 원래 프로세스가 진행되면 무시되었어야 할 E8 이 강제 해석되어버린 것이다.

(원래는 E8 은 그냥,, 쓰레기값.

마치 if(true) {} else ( 3/0; } 에서 else 엔 절대 갈 일이 없지만 0으로 나눌 수 없다는 컴파일 오류가 나는 것과 같은 결인 것 같다.

그렇게 CALL 명령어가 나오고 다음 값들을 해석하고,, 하느라 저 뒤부터 코드가 뒤틀리는 것이다.

해결법은 저 E8 을 data 로 인식하게 바꿔주는 방법이 있다.

2. JNZ 와 JZ 동시 사용

잘 살펴보면 jz 와 jnz 는 모두 같은 주소로 jmp 하는 명령어이다.

하지만 디스 어셈블러는 한 번에 하나의 명령만을 디스 어셈블(only disassembles one instruction at a time)하기 때문에 이를 눈치채지 못하고 jnz 의 false branch 인 EB 를 살펴본다.

EB 는 OPCODE 로 call 이므로,, 뒤 코드들이 뒤틀리게 된다.

그림으로 보면 이해가 쉬울 것이다.

프로세스 상으로는 절대 도달하지 못하는 E8 을 디스어셈블러의 특성 상, 도달하게 된 것이다.

해결 방법은 1번과 유사하다.

안티 디스어셈블은 이와 같이 프로세스 상으로 진행되는 흐름을 따르지 않기 때문에 이를 이용하여 혼동을 주며 원래의 코드를 숨길수도 있는 것이다.

참고 문헌

[1] practical malware analysis / Michael Sikorski & Andrew Honig / 2012 / Ch.15

🏰 🏰