안티 리버싱 :: 06 - 코드 난독화, 패킹

SECURITY/REVERSING 2020. 8. 5. 18:11

1. 코드 난독화 (Code Obfuscating)

" obfuscate "

말 그대로 코드를 읽기 어렵게 만들어서 리버서들이 분석하기 어렵게 하는 기술이다.

난독화 대상에 따라 크게

- 소스코드 난독화 : 프로그래밍 언어로 작성된 소스 코드를 알아보기 힘든 형태로 바꾸는 기술

- 바이너리 난독화 : 컴파일 후에 생성된 바이너리를 역공학을 통해 분석하기 힘들게 변조하는 기술

로 나눌 수 있다.

난독화를 시키면 결과값이 동일하고 문법에 위배되지는 않지만 변수명, 순서, 쓸모없는 코드 등을 이용하여 읽는 것을 어렵게 만드는 것이다.

(암호화와는 좀 다른 개념이다.

암호화는 읽기 어려운 수준이 아니라 키값(DES, AES 등) 이 있어야 볼 수 있다는 뜻..!)

1.1 Dummy Codes

: 실제로는 아무런 역할을 하지 않지만, 코드 사이에 넣음으로써 코드 난독화를 시키거나 디스어셈블러와 같은 분석툴이 명령어(instruction)들을 잘못 해석하게 하는 용도로 사용된다.

간단한 Dummy Codes 들을 섞은 코드를 작성해보면 다음과 같다.

(흐름 파악을 위해... )

__asm {
    xor ebx, ebx
    add ebx, 2
    add esi, ebx
    mov eax, fs:[0x30] // PEB
    mov ecx, 0xsecurityfact
    cmp ecx, 0xsecurity
    jne fact
    add esp, 0x20
    call esp  // never happen
    fact:
    	sub ecx, eax
        cmp byte ptr [eax + 2], 1 // BeingDebugged vs 1
        je DebuggerDetected
        lea ebx, [eax + ecx]
        push 00403116
        push 0
        call printf
        xor ecx, ecx
    DebuggerDetected:
        add ecx, 3
    	push 004030F1
        push 0
        call printf
        xor ecx, ecx
}

이 중에서 유효한, 목표하는 코드는 다음과 같다.

__asm {
    mov eax, fs:[0x30] // PEB
    jmp fact
    fact:
        cmp byte ptr [eax + 2], 1 // BeingDebugged vs 1
        je DebuggerDetected
        push 00403116
        push 0
        call printf
    DebuggerDetected:
push 004030F1
        push 0
        call printf
}

2. 패킹(Packing)

패킹은 크게

- 프로그램 용량을 줄이거나(shrink),

- 검사/분석을 어렵게 하기 위한

2가지 목적을 위해 사용된다.

많은 packer 가 있지만, 모두 비슷한 패턴을 가진다:

- 실행 파일을 변환하여 데이터로 저장하고,

- OS 에서 호출하는 언패킹 스텁(unpacking stub) 을 제공한다.

그래서 압축 파일과는 달리, 내부에 압축 해제 코드를 포함하여 실행하는 순간에 알아서 압축이 해제되고 실행되는 기술이다.

이를 수행하는 것이 패커(packer)이고, 상용화중인 패커들의 종류와 특징에 대해 알아보겠다.

2.1 UPX

- 프리웨어 https://github.com/upx/upx

- 가벼우면서 다양한 포맷 지원

- 효율이 좋아 많이 쓰임

2.2 ASPack / ASProtect

- 상용 프로그램

- x86, x64 윈도우 실행파일을 모두 지원

- 코드 압축률은 그닥이지만 암호화는 잘 되어있다. (Stolen Bytes 기법이 최초로 구현된 패커)

2.3 Themida

- 가장 강력한 패커 중 하나 (언패킹할 수 있는 자가 많이 없다고..)

- anti-debugging, anti-dumping, anti-VM 등 다양한 기능 지원 및 직접 커스텀 가능

- 현재 카카오톡, 은행 등의 프로그램에서 많이 사용 중

(실제로 디버거 쓰면서 카카오톡 사용 불가능.. 이때 뜨는 경고문에 Themida ~ 예전 게시글 참고)

2020/08/04 - [SECURITY/REVERSING] - 안티 리버싱 :: 01 - 안티 리버싱이란?

참고 문헌

[1] practical malware analysis / Michael Sikorski & Andrew Honig / 2012 / Ch.18

[2] Anti-Reversing Techniques / 김형찬 / 20160929

'SECURITY > REVERSING' 카테고리의 다른 글

가상 머신 - virtualBOX 설치 및 설정 (0)	2020.09.03
안티 리버싱 :: 05 - 안티 디스어셈블 (0)	2020.08.05
안티 리버싱 :: 04 - 안티 디버깅 기법들 소개 (0)	2020.08.05
안티 리버싱 :: 03 - 안티 디버깅 예제 (0)	2020.08.04
안티 리버싱 :: 02 - 안티 디버깅 (0)	2020.08.04

ABOUT ME

🏰 🏰

'SECURITY > REVERSING' 카테고리의 다른 글

티스토리툴바

ABOUT ME

'SECURITY > REVERSING' 카테고리의 다른 글

관련글 관련글 더보기

티스토리툴바