🏰 🏰

SECURITY

• 안티 리버싱 :: 06 - 코드 난독화, 패킹

  SECURITY/REVERSING 2020. 8. 5. 18:11

  1. 코드 난독화 (Code Obfuscating) " obfuscate " 말 그대로 코드를 읽기 어렵게 만들어서 리버서들이 분석하기 어렵게 하는 기술이다. 난독화 대상에 따라 크게 - 소스코드 난독화 : 프로그래밍 언어로 작성된 소스 코드를 알아보기 힘든 형태로 바꾸는 기술 - 바이너리 난독화 : 컴파일 후에 생성된 바이너리를 역공학을 통해 분석하기 힘들게 변조하는 기술 로 나눌 수 있다. 난독화를 시키면 결과값이 동일하고 문법에 위배되지는 않지만 변수명, 순서, 쓸모없는 코드 등을 이용하여 읽는 것을 어렵게 만드는 것이다. (암호화와는 좀 다른 개념이다. 암호화는 읽기 어려운 수준이 아니라 키값(DES, AES 등) 이 있어야 볼 수 있다는 뜻..!) 1.1 Dummy Codes : 실제로는 아무런..

  Read More
• 안티 리버싱 :: 05 - 안티 디스어셈블

  SECURITY/REVERSING 2020. 8. 5. 17:00

  안티 디스어셈블은 디스어셈블러를 속여 실제 실행과 다른 명령어들을 이용해 디스어셈블러가 혼동을 일으키게 만든다. 디스어셈블러의 가정(assumptions)과 제약(limitations)을 이용하여, 교묘히 조작해서 유효한 명령을 디스어셈블러에게서 숨길 수 있다. 디스어셈블러는 한 번에 명령어 하나로 바이트를 표현하기 때문에 이런 오프셋을 이용하면 된다. 즉, 같은 바이트 코드들이라도 디스어셈블러에 따라 다른 결과를 낼 수 있다. 이 점을 이용한 것이 안티 디스어셈블! 따라서 어떤 디스어셈블러(IDA, Ollydbg 등)를 이용하는지에 따라서 올바르게 인식할수도, 아닐수도 있다. " The disassembly examples show two completely different sets of instru..

  Read More
• 안티 리버싱 :: 04 - 안티 디버깅 기법들 소개

  SECURITY/REVERSING 2020. 8. 5. 12:09

  앞서 안티 디버깅에 대한 간단한 예제를 살펴보았다. 2020/08/04 - [SECURITY/REVERSING] - 안티 리버싱 :: 03 - 안티 디버깅 예제 이제는 안티 디버깅에 대한 이론적인 것들을 간단하게 개념적으로 정리해볼 것이다. 대다수 안티 디버깅 기법은 FS:[0x30] 에 접근해 윈도우 API 를 이용하거나, 디버깅하면 그냥 실행했을 때보다 실행 시간이 길어짐을 이용하여 시간을 검사하는 기법을 자주 사용한다. ------------------- 목차 ------------------- 1. Windows API 1.1 IsDebuggerPresent 1.2 CheckRemoteDebuggerPresent 1.3 NTQueryInformationProcess 1.4 OutputDebugSt..

  Read More
• 안티 리버싱 :: 03 - 안티 디버깅 예제

  SECURITY/REVERSING 2020. 8. 4. 15:32

  안티 디버깅에 대한 간단한 예제를 하나 살펴볼 것이다. 예제 문제는 lena 의 강좌 19편 Debugger detected and anti-anti-techniques 중 ReverseMe.A 이다. (https://forum.tuts4you.com/files/file/1307-lenas-reversing-for-newbies/) ReverseMe.A 그냥 실행시키면 이 뜨지만, ollydbg 로 디버깅을 시작하면 이 뜬다. 디버거로 실행하고 있다는 것을 감지하고, 다른 메시지를 출력하는 것이다. 함수 CALL 을 살펴보면 IsDebuggerPresent 함수를 호출하는 것을 볼 수 있다. IsDebuggerPresent 함수 : https://docs.microsoft.com/en-us/windows..

  Read More
• 안티 리버싱 :: 02 - 안티 디버깅

  SECURITY/REVERSING 2020. 8. 4. 14:12

  2020/08/04 - [SECURITY/REVERSING] - 안티 리버싱 :: 01 - 안티 리버싱이란? 안티 디버깅이란, 프로그램을 실행하면서 분석하는 디버깅을 방지하는 기법이다. 안티 디버깅에는 static 과 dynamic 이 있다. static 안티 디버깅 : (주로 프로그램 시작 시) 디버거를 탐지하여 만약 디버거라면 프로그램이 정상적으로 실행되지 못하도록 하는 기법이다. 말 그대로 움직이지 않기 때문에 한 번만 해체해주면 해결된다. dynamic 안티 디버깅 :프로그램 동작 중에 디버깅을 계속 탐지하여 디버거라면 그때마다 해결하는 기법이다. 디버거 트레이싱을 방해하여 원본 프로그램의 동작 원리를 이해하는 데에 어려움을 준다. * 디버거 트레이싱: 한 줄 한 줄 디버깅 한다. 즉, 디버기의 ..

  Read More
• 안티 리버싱 :: 01 - 안티 리버싱이란?

  SECURITY/REVERSING 2020. 8. 4. 14:11

  안티 리버싱 (Anti-Reversing) 이란? 리버싱을 방해하고 분석을 방해하는 기술 안티 리버싱 기법에는 안티 디버깅, 안티 디스어셈블링, 안티 템퍼링, 코드 암호화 난독화 등이 있다. 안티 리버싱이 상위 집합이고, 하위 집합으로 안티 디버깅, 안티 디스어셈블링, 안티 템퍼링 등으로 나뉘는 것이다. 단지 안티(~에 반대되는/~를 방지하는) 의 레벨이 디버깅 / 디스 어셈블리 / 메모리 레벨인지에 따라 분류되는 것이다. 이런 기법뿐 아니라 코드를 암호화시키는 것도 리버싱을 방해하는 것이므로 안티 리버싱의 일종으로 보면 된다. - 안티 디버깅: 프로그램을 실행하면서 분석하는 디버깅을 방지 - 안티 디스어셈블링: 프로그램을 실행하지 않고 코드와 구조를 분석하는 디스어셈블링을 방지 - 안티 템퍼링: 메모리..

  Read More
• 리버싱 예제 :: ollydbg -03 Serial 찾기

  SECURITY/REVERSING 2020. 7. 29. 22:33

  (KeyGenMe 4 by Vallani) 이번 문제는 Name이 CodeEngn 일 때의 Serial 을 찾는 것이다. 프로그램 실행 화면은 다음과 같다. 여기에 Name 과 Serial 을 찾아야 한다. (풀이) 먼저, ollydbg 에서 열어주고 CALL 과 String 들을 살펴본다. 이를 바탕으로 두 가지 방식으로 접근해서 풀었다. 1. String 에서 목표지점으로 가기 여기서 우리가 원하는 출력물은 "You succeeded..." 임을 짐작할 수 있다. 거기로 이동해보면, 다음과 같은 화면이 나온다. 여기서 앞에 의미있는 정보가 없기 떄문에 첫번째 "You failed ..." 로 가본다. 적당히 중단점을 잡는다. 위에 있는 GetDlgItemTextA 함수가 입력한 정보를 읽어오는 함수라..

  Read More
• 리버싱 예제 :: ollydbg -02 RegisterKEY

  SECURITY/REVERSING 2020. 7. 29. 18:02

  (SuNiNaTas 의 Binary 11번) 딱 파일을 실행해보면 Register KEY 를 찾는 문제임을 알 수 있다. 그냥 아무 글자를 입력하면 별다른 반응을 보이지 않고 문자열만 초기화된다. (풀이) string 들을 살펴보면 Register key 를 입력하면 "Congratulation!" 이라는 문자열이 출력됨을 짐작할 수 있다. 그 부근으로 가보자. 다만 string 도, 함수 CALL 도 많아서 일단 main 을 찾아서 어떤 값을 비교하는지를 봐야겠다. main 을 찾아가는 방법 ! alt + m 혹은 위에 M 클릭 -> Contains 가 code 인 것을 찾는다. 그 주소가 main 의 시작 주소이다. (라고 했는데 뭐.....) Congratulation! 출력 전에 JNZ 구문이 있..

  Read More