x32 themida binary debugging in x64 machine 2부
관련된 포스팅으로 2년전에 작성했었다. 보러가기
그런데 최근에 악성코드 샘플을 분석하는 도중 더미다 패커로 패킹된것으로 보였는데 최신 버전으로 패킹이 되어 있는지 "OllyDBG" + "StrongOD" 조합으로도 실행조차 불가능했다.
XP에서 하면될까 싶었지만 XP환경에서는 실행조차 되지 않는 샘플이었다.
Windows 7 이상의 운영체제에서 더미다 패킹된 바이너리를 디버거와 함께 올리는 방법. 그게 필요했다.
나는 여러 플러그인들을 뒤적뒤적거렸고 그것에 대한 결과물을 여기에 담기로했다.
1. TitanHide
< Figure 0. TitanHide GUI >
TitanHide는 커널모드에서 안티 디버깅을 우회해주는 모듈이다. 커널단에서 동작하기 때문에 드라이버파일(TitanHide.sys)과 함께 동작한다. 하지만 서명이 되어있지 않아서 윈도우즈를 테스트모드로 구동시켜야 동작한다.
한번쯤은 써볼것을 권장하나 이 포스팅에서는 위 프로그램을 다루진 않는다.
왜냐면 나의 목표는 유저모드에서도 성공적으로 끝났기에? ㅎ_ㅎ
2. ScyllaHide
< Figure 1. TitanHide GUI>
ScyllaHide 플러그인은 유저모드 안티디버깅 우회 모듈로서 오픈소스로 공개되어 있으며 최근까지도 패치가 이루어지고 있다. 해당 모듈은 테스트모드가 아니라도 동작하며 좀더 많은 선택을 할 수 있다.
실제로 위와 같이 체크했을때 아래와 같이 모든 테스트에서 "0"이란 값을 돌려받는다. 만약 탐지됬다면 "1"을 결과로 받게된다.
< Figure 2. Anti-Debug Test Program( 우회 성공 ) >
성공적으로 확인을 했으며, 최신 버전의 패커로 되어있더라도 Windows 7 64비트 시스템에서 디버깅을 할 수 있었다.
3. 다운로드
x64-dbg 도 ScyllaHide 플러그인을 사용할 수 있어 적용시켜 두었다.
x64-dbg는 이름만 보아서는 64bit 샘플만 디버깅할 수 있는듯이 해놓았으나
32bit 바이너리도 디버깅할 수 있다 ㅋㅋ..
하지만 OlyDBG에 익숙해져버려있는 나는 둘다 공용해서 사용하고있다.
x64-dbg :
OllyDBG :
OllyKMS.zip