Broken Code (window31)

포렌식 서적의 국가대표급인 Windows Forensic Analysis 가 번역본으로 나왔습니다.
파일복구, 탐지, 추척 등의 포렌식 쪽 공부를 해보신 분 중에 이 책을 모르시는 분은 없을 것 같습니다 :) 포렌식 입문용의 대표적인 서적이면서 동시에 실전용으로도 손색이 없던 이 책이 한글판으로 나온다는 것은 매우 반가운 소식이네요 (제목은 인사이드 윈도우즈 포렌식 으로 바뀌었군요 ^^)

원서 디자인은 아래와 같습니다. Windows Forensic Analysis DVD toolkit 2nd edition 가 원제목인데, 제목에서 보다시피 이번에 번역되는 책은 2판이고요, 아마 많은 분들께서 1판의 디자인이 더 친숙하지 않으실까 합니다.




아래 이미지, 이게 1판입니다. 많이 보셨으리라 생각합니다 :p



번역자와 감수자가 아주 반가운 분이네요 :) Application Hacking 의 저자 중 한분인 정상민(iwillhackyou) 님도 계시고, 감수로는 심플즈 운영자 박병익님이 보입니다. 모두 현업에 계신 분들이니 번역 상태는 괜찮을 것으로 생각합니다 :) 뭐 어쨌든 이미 많은 분들께서 인정받은 책이고 더구나 2판이 바로 한글판으로 나왔으니, 1판에 감동받고 2판을 보고싶은 분들, 1판을 영어로 눈 빠지게 보느라 고생하신 분들은 구매하시면 아주 좋을 것 같네요 :)

강컴을 보니 어제부터 풀리기 시작했군요. 이번주는 대부분의 회사가 월급주는 날일테니 질러주는 것도 괜찮겠습니다 ㅎ (아 갑자기 책 광고 모드로 돌입하는데... 이유는 뭐 단순히 저도 나름 이 책에 애착이 있어서 그렇습니다ㅎㅎ)
http://kangcom.com/sub/view.asp?sku=201005110002



아래는 출판사 블로그에서 퍼온 내용과 목차입니다.
http://bjpublic.tistory.com/69

1장. 실시간 대응: 데이터 수집

소개

실시간 대응

-로카르드의 교환 법칙

-휘발성 순서

-언제 실시간 대응을 수행해야 하는가

어떤 데이터를 수집해야 하는가

-시스템시간

-로그온 사용자

-오픈 파일

-네트워크 정보

-네트워크 연결

-프로세스 정보

-프로세스 포트 매핑

-프로세스 메모리

-네트워크 상태

-클립보드 내용

.
.

접기

요즘은 회사에서 개발/분석 업무보다는 아이디어 창출이나 기획 업무에 더욱 치중을 두는 편이다. 남이 구현해 보지 않은 것, 누군가 시도해 보지 않은 것에 대해 새로운 안을 동료들에게 제시하고, 나의 지시나 조언으로 인하여 그것이 코드와 기능으로 완성되어 가는 모습을 보며 뿌듯함을 느낀다.

인터넷을 서핑하다가, 예전에 파워해커에 올린 내가 쓴 글을 발견했다. 게임보안 솔루션의 제작에 관한 질문이고, 내가 댓글을 두번 달았는데 뒤돌아 생각해보니, 공개된 커뮤니티 안에서 게임보안 솔루션과 관련된 공식적인 게시물로 내가 처음 남긴 글이 아닐까 한다. 이 글을 오랫만에 다시 보니 여러가지 생각이 떠오른다.
http://www.simples.kr/bbs/board.php?bo_table=04_3&wr_id=2302


보안회사의 게임보안 개발팀에서 퇴사한 이후 게임회사로 옮기고 많은 사람들에게 질문을 받았다. 게임보안 솔루션의 원리는 어떻게 되며, 어떤식으로 구현이 되었나, 제작 아이디어로 어떤 것이 있을 것이냐 등등...(내가 잘나서 그런게 아니라 그안에 있다가 그만둔 사람이 워낙 없어서 그런게 아닐까 하는 생각) 대부분의 질문에 대해 뭉뚱그린 대답을 하거나 구체적이거나 critical 한 내용은 빼고 standard 한 코멘트만 하는 등 대답을 회피한 편이다 (이유는, 솔루션의 초창기 개발팀 멤버로써 의리를 생각해서... 아니 사실은 불었다가 잡혀갈까봐,,,, 음. 사실 진짜 이유는 아는게 하나도 없어서 :p)

보안회사에서 게임보안 솔루션을 개발하는 입장, 그리고 게임회사에서 게임보안 솔루션을 사용해본 입장 두가지 상황을 다 겪어 보니, 외부에서 SDK 를 개발하고 서비스를 제공하던 예전에는 이해할 수 없었던 게임 개발팀 내부환경에 대해 이해도를 높힐 수 있었고, 내부에서 보안회사의 SDK 를 받아서 적용하고 서비스를 받는 입장이 되어 보니, 고객에게 필요한 것이 무엇인지에 대해 생각할 수 있었다. 무엇보다 보안회사/게임개발팀/운영팀 등 내외부에서 겪는 갈등에 대한 해결책이 될 실마리를 얻을 수 있었다. 또한 개발자와의 커뮤니케이션 기술도 많이 익힐 수 있었다. 내가 만든 코드를 개발자들이 게임에 갖다 붙히는 업무 프로세스와, 리버싱으로 컨설팅을 해주는 시스템도 만들 수 있었다. 비록 메인 모듈을 개발하는 업무에서는 벗어났지만, 취약점 컨설팅과 개발 컨설팅, 보안 프로세스 기획에 대한 많은 업무를 경험해볼 수 있었다.

어느새 보안회사에서 퇴사한지 3년이 넘었고, 메인 모듈 개발은 손에서 놓고 SDK 나 부수 코드만을 만든지 오랜 시간이 지났다. 요즘은 가끔 그런 생각이 든다. 지금은 흩어져 있는 예전 동료들을 모아, 그리고 업계에서 알게 된 최고의 실력을 가진 인맥들도 포섭하여 새로운 형태의 솔루션을 제작한다면 어떤 물건이 나올 수 있을까? 개발과 리버싱에 능통한 베스트 멤버들과 지금까지 나의 삽질해본 "경험"을 융합시킨다면 제법 훌륭한 아웃풋이 나올 수 있지 않을까 하는 생각이 든다. 물론 그런 Dream Team 을 구성한다는 것 자체가 일어날 수 없는 꿈 같은 promotion 이며, 새로운 full version 의 솔루션을 개발하는 것도 실현 불가능한 일이지만 :)


window31.

예전 마소잡지에 일상 생활에서의 역공학 이라는 글을 쓴 적이 있습니다. 요리 리버싱이라던가
악보 리버싱 등, 리버싱과 연관된 우리 생활에서 볼 수 있는 여러가지 주변 얘기를 이것저것
나름 작성해본 글입니다.

생각해보면 시각의 방향을 한꺼풀만 뒤집어도, 일상에서 리버싱과 연관된 것은 너무도 많습니다.
하지만 플랫폼이 "일상"이라서 그런지, 다행히 그것이 "불법" 이라고 치부되는 경우는
그렇게 많지는 않았던 것 같습니다. 식당에서 요리를 먹고 음식의 내부구조를 철저분석한 뒤,
집에 와서 와이프에게 그것과 똑같은 음식을 해주었다고 해서 불법은 아니니까요 ^^
바이너리 리버싱은 온통 불법 천지인 것을 생각하면(except of malware) 일상에서의 리버싱은
그나마 좀 나은 현실이라고 해도 크게 틀린 얘기는 아닙니다.

그러나 경우에 따라 '이건 좀 도가 지나친데?' 라고 생각되는 reversing in daily life 도
있습니다. 제가 겪은 것 중 하나는 "도장 리버싱"입니다.

도장 리버싱은 보통 인감 도장을 사용해야 하는 곳, 중고차 시장이나 대출을 받는 곳
뭐 그런 동네에서 주로 이용됩니다. 급하게 서류를 처리해야 하는데 실수로 인감도장을
가져오지 않았고 하는 경우, 종이에 찍힌 빨간 도장글자를 보고 똑같은 도장을
만들어내는 것을 말합니다. 저도 한번밖에 보지 못했는데, 대충 원리를 보니 아마
종이를 스캔한 후 픽셀 등을 읽어서 도장 출력이 가능한 형태의 데이터 파일로 만들어 낸 뒤,
그대로 도장인쇄기 하드웨어로 전송하여 도장을 만들어내는 것 같습니다 (온라인게임에서
GetPixel 등으로 화면 색깔을 읽어서 HP 나 몹 위치 등을 파악하는 것과 나름 유사한
원리가 되겠네요)

물론 아주 유용합니다. 거의 원본과 흡사한 도장을 만들어내기 때문에 실수로 도장을
가져오지 않은 사람들에게 큰 도움이 되며 가격 또한 비싸지 않습니다. 그래서 도장이
필요한 곳 근처에서는 이런 도장 리버싱 문화가 아주 당연시 되어 있습니다.
"인감 안가져오셨어요? 아 괜찮아요 이쪽으로 오세요" 친절하게 안내해줍니다.

하지만 거꾸로 뒤집어서 생각해보면, 도장히 찍힌 종이쪼가리 하나만 있으면
도장 리버싱에 의하여 나의 인감도장이 언제든지 복사, 도용될 수 있다는 위험에 노출되어
있다는 상태라고 볼 수도 있습니다. 인감도장을 찍는 종이는 외부인이 얼마든지 볼 수 있고
컴퓨터에 비하면 서버가 아닌 클라이언트며, 언제든 해커(도장 리버서)의 위험에 노출되어
있는 상태입니다. 마음만 먹으면 동일한 도장을 만들어낼 수 있습니다.

이것 역시 일상에서의 역공학의 일부가 됩니다만 요리 리버싱이나 음악 리버싱과는 달리
법적인 문제까지 발생할 수 있습니다. 왜냐면 도장은 돈이랑 관련되어 있기 때문입니다.
바이너리 리버싱에서도 법적인 요소가 수면위로 떠오를 때도 역시 돈과 연계되어 있기
때문에 같은 상황이 적용됩니다. 암튼 돈이 문제입니다 -_-;

물론 아직은 도장 리버싱이 뉴스화 되거나 법적으로 이슈화 된 적은 없는 것으로 알고
있습니다(제가 못본걸 수도요 ;; ) 하지만 분명히 문제가 될 잠재적인 요소를 내재하고
있고 언젠가는 이것이 뻥 터질 것으로 예상합니다. 리버싱이 보안 업계내에서는 문제를
인식하고 있었지만, 그것이 사회적 이슈가 되기까지는 오랜 시간이 걸렸듯이 도장 리버싱
또한 그렇지 않을까 생각이 듭니다.

일상에서의 역공학은 앞으로도 아주 많을 것 같습니다. 그리고 시간이 지나며 그것이
불법과 합법에 대해 어떤 가치의 잣대로 저울질 해야 할지가 결정될 것입니다. 악보
리버싱의 경우 예전에는 특정 음악을 리버싱하여 악보를 인터넷에 올려놓아도 문제가
되지 않았지만, 지금은 악보 리버싱이 금지되어 있어서 저작권이 있는 음악은 공개적으로
악보를 업로드하지 못하게 되어 있습니다(국내에서는 모르겠지만 해외에서는 그렇습니다)

당장에는 아무 생각없이 자행했던 일상에서의 역공학들이 추후에는 어떤 법적 조항이
서드파티로 붙어서 따라다니게 될 지 모릅니다. 그렇다면 많은 것들이 불편해 지겠죠.
그러나 불편함과 보안은 비례하는 관계입니다. 불편하면 불편할 수록 보안 이슈를 크게
인식한다는 것이라 볼 수 있습니다. 삶이 윤택해 질수록 많은 문화생활이 불편해 져야
오히려 더 안심하고 살 수 있다는 명제는 언제 봐도 아이러니 합니다.
 

window31. 2010년 5월.

Themida 2.1.2.0 새버전이 나왔습니다.

바로 이전 버전인 2.1.1.0 은 버그가 좀 있는 것 같네요(간헐적으로 죽는 현상).
아마 API redirect 때문인 것 같은데, 뭐 자세히는 확인해보지 않아서 모르겠습니다.
그 아래 버전인 2.1.0 이나 이번 버전인 2.1.2 를 사용하는 것이 나을 것 같습니다.

그리고 제가 예전 글이 Themida 는 버전별로 구매하는 것이 아니며, 새버전이
나올 때마다 보내준다고 작성하였는데, 정정하겠습니다. 새버전이 나오면 보내주는
것은 맞지만, 1년 라이센스 단위로 계약이라 1년이 지나면 보내주지 않습니다 ㅎㅎㅎ

window31.


ps. Themida 보내주세요 메일 사절합니다 -_-; 남자라면 정품 구매...


Themida [2.1.2.0] (30-Mar-2010)
[+] Improved compatibility in internal variables engine with specific applications 
 
[+] Improved resource compression for applications with already compressed resources 
 
[+] Improved API-Wrapping handling in applications with big amount of imported APIs 
 
[+] Improved Virtual Machine environment detection 
 
[+] Added option in Themida config file to use paths relatives to the project file 
 
[+] Added support for Director 11.5 applications 
 
[+] Improved virtualization of Bit Test opcodes 
 
[+] Improved option ImplicitImport in SecureEngine config 
 
[+] Optimized API-Wrapper for AutoIt applications 
 
[+] Added option to strip exports table in SecureEngine Config panel 
 
[+] XBundler: Added internal option to specify the CLSID of embedded DLLs to check for registration in ActiveX configuration 
 
[+] XBundler: Improved compatibility with specific Flash applications 
 
[+] XBundler: Improved compatibility for .NET applications with ELEVATECREATEPROCESS flag under Windows 7 
 
[+] XBundler: Improved "Extract always" option 
 
[!] Fixed virtualization of BTR/BTS dword 
 
[!] Fixed very random bug with API-Wrapper Level 2 on specific computers 
 
[!] Fixed support with JCLDebug 
 
[!] Fixed issue with prefetch queue on i7/i9 processors 
 
[!] Fixed protection of specific .NET applications 
 
[!] Fixed ExitProcess code for .NET applications 
 
[!] Fixed introduced bug in previous version for specific VB applications 
 
[!] Fixed random bug in compression engine for specific applications 
 
[!] Minor bugs fixed 

필자 메모 - Dll Injection
강병탁 / window31 (window31@empal.com / www.window31.com)

월간 마이크로소프트웨어 2010년 4월호
("리버싱으로 분석하는 온라인 게임 해킹툴" 4회 - Wall Hack 中)

월핵을 제작하는 데에는 DLL Injection 이 사용된다. 하지만 Dll Injection 은 방법론의 하나일 뿐이지, 그것 자체가 월핵의 동작 구조라고는 할 수 없다. Dll Injection 이 몇 년 전에 비해서는 상당히 자료도 늘어나고 상세한 설명을 인터넷에서 쉽게 볼 수 있다는 점은 반길만한 일이다. 그러나 아쉬운 것은 이렇게 많은 데이터가 넘쳐나는데도, 아직도 상당히 많은 사람들이 DLL Injection 이라는 개념 자체를 잘못 이해하고 있는 것이 아닌가 하는 생각이 든다. 예를 들면 다음과 같은 대화가 이루어진다.

Q : 어떤 방식으로 월핵이 돌아가나요?
A : Dll Injection 을 사용합니다.

이 대화는 대략 다음과 같은 대화로 비유할 수 있지 않을까,

Q : 서울에서 부산까지 어떻게 가실 건가요?
A : 교통 수단을 이용할 겁니다.

Dll Injection 은 수단의 하나일 뿐이지. 그것 자체가 공격기술의 요지는 아니라는 것을 이해했으리라 본다. 특히나 이런 부류의 해킹툴 분석에 있어서는 더욱 그렇다. 보안회사에서 해킹툴 분석 내용으로 컨설팅을 할 때나, 게임회사 내부에서 분석 논의가 오갈 때에 저런 답변을 하는 사람으로 인해 회사나 팀의 이미지를 깎아먹는 일이 생기지 않기를 바란다.