Broken Code (window31)

오랫만에 리버스 엔지니어링 관련 글을 쓰게 되는 것 같네요 ^^;

오늘의 주제는 1byte Patch 입니다.
저희팀에서 같이 일하는 haru 라는 분이 예전에 간단히 만든건데요.
간단하면서도 나름 재미있는 부분이라 한번 설명해 보겠습니다.

윈도우즈의 계산기 calc 많이들 사용하시죠.

특히 개발자나 리버서들은 16진수 사용이 필수이기 때문에 보기 - 공학용 으로 변경하셔서
많이 사용하시곤 합니다.



근데 공학용 으로 셋팅을 바꾸면 윈도우즈에서 그 설정값을 기억하고 있기 때문에
계속 저런 모양이 되지만

16진수인 Hex 를 선택해도 종료한 뒤 다시 실행하면 Dec 로 바뀌어져 버립니다.
그래서 실행할때 마다 Hex로 바꾸어야 하는....
졸~~ 짜증나죠  ㅅㅂ

그래서 계산기 Dialog 가 셋팅될때 라디오버튼을 아예 Hex가 디폴트가 되도록 바꾸는 방법이
있습니다. 그 방법은? 초기화 코드에서 처음에 UI 설정을 할 때 10진수로 라디오버튼을 셋팅하는
부분을 16진수로 바까버리는 방법입니다.

그 부분을 한번 뜯어가 볼까요.

아래 이미지를 보시면 UI 초기화 루틴인데요,  0x1001DCD 번지의 콜문을 보세요.




여기가 계산기 진법 셋팅하는 루틴입니다. 인자는 진수고요. 인자를 esi에 넣고,
esi를 2, 8, 10, 16과 각각 비교하는 코드가 보입니다. 그 숫자는 2진법, 8진법, 10진법, 16진법에
대한 숫자겠죠 :)





그러므로 0x1001DCB에 들어가는 push 0Ah 를 push 10h 로 변경시켜주면
매번 16진수로 셋팅이 되어서 실행이 되겠죠 0x0A 를 0x10 으로 바꿔주기만 하면 됩니다.
간단한 1 byte patching 이죠 :p

아주 쉬운 내용입니다. 이것으로 앞으로 매번 실행시마다 16진수가 디폴트인 채로 사용할 수
있겠죠. 다음에는 몇가지 코드를 주입해서 쵸큼 더 지능적으로 바꿔보도록 하겠습니다. :)


window31. 2008년 9월.

서적 출간 소식입니다.
국내에서도 리버싱을 full 로 다룬 첫 서적이 나올 것 같네요 ^^

http://simples.co.kr/ 에서 esniper 님께서 리버싱관련 서적을 다음달 초에 내신다고 합니다.
아래는 목차고요. 목차에 대해 어느 보안 포럼에서는 이렇다 저렇다 논란 이 있긴 하지만
아직 알맹이도 보지 못한 상황에서 내용에 대해 왈가불가 하는 것 보다 리버싱 전문 서적의
첫 출간이라는 것에 더 큰 의의를 두어야 하지 않을까 싶네요.

(목차를 보며 그나마 할 수 있는 얘기는 코드 한줄한줄에 대한 Tracing 보다는
리버싱이라는 것을 다룰 때 포괄적으로 알아야 할 지식과 개념, 용어, Tool 등을
정리해놓았다는 생각이 정도? )

리버싱에 관심 있으신 분들 한권씩 지르세요 ^^;
리버싱 잘하시는분들도 지르세요ㅎㅎ 인식이 많이 높아지긴 했지만 리버싱은 아직도 희귀학문에
속하는 지라 "C++ 일주일이면 쵸큼 잘하게 된다" 이딴 책보다는 아무래도 매출이 적을테니
훌륭한 책을 널리 알리는데 다들 공헌해야 한다고 봅니다 :)

---------------------------------

1장 리버스엔지니어링에 대하여

1 리버스엔지니어링이란 무엇인가?

2 크래커에 의한 피해사례, 개발자들이 주의할 부분

3 리버스엔지니어링의 전망과 취업

4 리버스엔지니어링 관련 법률

5 라이센스 정책에 대한 정리

2장 리버스엔지니어링을 위한 기초지식

1. 올리디버거(OllyDBG) 설정 및 사용법

2. Jump구문제어 문제풀이

3. CPU레지스터와 어셈블리언어, 진수변환

  3-1. 진수변환

  3-2. CPU 레지스터

  3-3. 어셈블리 언어

  3-4. 상황별 어셈블리 명령어

4. WinApi 분석을 통한 문제풀이

5. 메뉴얼 Unpack과 Back To User모드

6. 키젠(KeygenMe)문제풀이를 통한 스택과 콜링컨벤션의 이해

7. KeyFile체크문제풀이와 바이너리 수정

8. NAG제거 문제를 통한 PE구조의 이해

3장 리버스엔지니어링 관련 툴

1. 툴을 사용하는 것에 대하여

2. 시스템 모니터링 툴(System-Monitoring Tools)

2-1. Filemon

2-2. Regmon

2-3. TcpView

2-4. Procexp

3. 디스어셈블러(Disassemblers)

3-1. IDA 설치 (Install)

3-2. 메뉴구성과 IDA 사용방법

3-3. 디버깅 (Debugging)

3-4. IDA에서 For문 분석하기

3-5. IDA에서 if문 분석하기

3-6. 크로스레퍼런스 기능과 지뢰찾기 분석

4. 디컴파일러(Decompilers)

4-1. 플래쉬 디컴파일러(sothink SWF Decompiler)

4-2. 닷넷 프로그램 디컴파일러(Reflector)

4-3. 델파이 디컴파일러(DeDe)

4-4. 자바 디컴파일러(JAD)

5. 메모리패치(Memory Patch)

5-1. 티서치(TSearch)

5-2. 치트엔진 (Cheat Engine)

6. 바이너리분석(Binary Analysis)

6-1. PEiD

6-2. 리소스해커

6-3. Strings

6-4. Dependency Walker와 DumpBin

7. 언패커(Unpacker)

7-1. Universal Extractor

7-2. VMUnpacker

8. 리빌더 (Rebuilder) - ImpRec

9. 헥스에디터(Hex-editors) - XVI32와 QuickBe

10. 루트킷탐지(Rootkit Detection)

10-1. GMER

10-2. IceSword

11. 네트워크 모니터링 툴(Network-Monitoring Tool) - Wireshark

12. 가상머신 (Virtual Machine)

12-1. Vmware

12-2. VirtualBox

4장 악성코드 분석

1. 악성코드란?

1-1. 파일 바이러스

1-2. 웜

1-3. 트로이 목마

1-4. 백도어

1-5. 스파이웨어

2. 악성코드 감염경로

2-1. 메신저에서의 파일 전송

2-2. 이메일에서 파일 다운

2-3. 의심스러운 사이트에서의 Activex 설치

2-4. P2P 사이트에서의 파일 다운

2-5. 인터넷에서 감염된 파일 다운

4.3 악성코드 분석 (IRC Bot) 

5장 안티디버깅(Anti Debugging)

01. 안티디버깅이란?

02. 안티디버깅의 종류

03. IsDebuggerPresent

04. Microsoft Visual Studio 2005 에서 컴파일 및 실행

05. Microsoft Visual Studio 6.0 에서 컴파일 및 실행

06. IsDebuggerPresent 우회방법

07. IsDebugged

08. IsDebugged 우회방법

09. NtGlobalFlags

10. NtGlobalFlags 우회방법

11. CheckRemoteDebuggerPresent

12. CheckRemoteDebuggerPresent 우회방법

13. FindWindow

14. FindWindow 우회방법


-----------------------------

개인적인 생각이지만, 사실 리버싱 글을 쓰기가 어려운 이유는
target 을 잡기가 힘들기 때문이라고 생각합니다.
無 에서부터 시작하는 일반 프로그래밍과는 달리, 리버싱은 분석을 당할 대상이 반드시 필요하고.

그 대상은 리버싱 당하다 보면 씹창이 나기 마련이며 씹창이 나다보면 취약점이나 허술한 부분이 까발려져서 개발자는 ㅄ이 되고 좋은 처리를 해 놔도, 그 아이디어가 오픈되어 역시 고생해서 코딩한 개발자는 짜증이 나고 결정적으로 상용 소프트웨어를 잘못 리버싱 했다가는 소송에 휘말리기 때문입니다.


그래서 대상을 선정하기 어렵고, 리버싱 하기 위해 ㅄ될 플그램을 직접 몇개 맹글어야 하고
하지만 리버싱하는거보다 코딩하는게 더 귀찮을 때가 있고
그리고 웬지 사람들 눈에는 UI도 제대로 없는 추리한 애플리케이션보다는
누구나 아는 익숙한 프로그램을 리버싱해주길 원하고
뭐 그런 ㅈ같은 현실 때문에 글 쓰는것, 그리고 크리티컬한 분석내용과 코멘트를 작성하는 것
이매우 힘든 것 같습니다.

이 서적을 쓰신 작가분도 그러한 고민을 하지 않았을까 하고 생각되네요.
리버싱이 P2P 프로그램 속도패치나 상용 S/W 시리얼 크랙 에만 이용되지 않고
좀더 전문적인 학문이 되려면 이같은 작가의 고민이나 현실적인 문제가 좀더 극복되어야 할 것
같습니다.

 

모 대학 컴퓨터시스템학과 학생들을 대상으로 리버싱 강의 요청이 와서
모교도 아니고 아무 상관없는 사람이지만 어쩌다가 강의를 하게 되었습니다.
저같은넘이 대학강단에 서보다니 학생들의 불운이 시작될거라고 제 친구가 그러는군요 ㅎㅎ
(음 날짜가 어제였는데, 3/15로 되어있네 타이핑 미스 ;; )

3시간이 넘는 강의였는데 그래도 조는 학생들 한명 없이 눈도 똘망똘망하게 뜨고 잘 경청해줘서
감사 드립니다. 질문도 많이 해 주셔서 고맙고요.

강의자료와 사용 툴, 바이너리는(공격코드 제외) 교수님을 통해 전달해드리도록 하겠습니다.

핵 드라이버에서 종종 발견되는 코드
정말 이거 싫다
대책이 있을랑가 ㅋ
무슨 코드인지 알만한 분들은 다 아실겁니다 :p
머 이 드라이버 만든 사람도 제 블로그 보고 있을지 모르겟지만 ;;

저는 컴터를 쓰다가 하루에도 여러번씩 내 컴터에 깔린 커널 드라이버 리스트를 확인합니다.
드라이버를 은밀하게 깔아서 할 수 있는 짓이 워낙 많다 보니.. 저 또한 피해자의 예외대상은
아니라고 생각되어 걍 머 버릇처럼 확인하고 있습니다.

그런데 오늘 출근해서 보니 vzthni.sys 라는 묘한 드라이버가 올라와 있더군요 -_-
파일 날짜를 보니 어제 퇴근 시간 직전 시간입니다.
어떤 개쉑이 내 PC에 기 들어와서 이상한거 깔아놓은건가 하는 압뷁에 순간 혼미해지더군요
저희가 짱개들로부터 해킹 공격을 하도 많이 받다 보니 그런 생각이 더했습니다.
그리고 제 PC는 워낙 음흉한 자료가 많다보니 ㅎㅎㅎ 더 심장이 조여오더군요 -_-

일단 바이러스 토탈에 먼저 넣어 봤습니다.

2개 백신에서 걍 오진인지 휴리스틱의 원인인지 암튼 의심스럽다 정도만을 내뱉는거 빼고는
아주 깔끔합니다 -_-

사실 깔끔해서 더 무섭더군요.
보통은 세상에 등장하지 않은 갓 태어난 싱싱한 바이러스에게 공격당하는 경우가 많거든요.
그 경우는 백신이 당연히 본적이 없는 바이러스이기 때문에 진단이 되지 않는것은 당연하고요 -_-

아무튼 드라이버를 얼른 뜯어 봤습니다.
크기도 상당히 크고, 의심스러운 짓을 너무나 많이 하더군요.

노티파이 루틴이 있어서 새 프로세스 생성도 감지하고 있고
그리고 SDT 도 건드리고 있는데, 테이블을 후킹하는게 아니고 오버라이트 훅을 하더군요
루트킷 디텍터에 걸리지 않으려고 아주 지대로 만들었군 하는 생각에 더 두려움에 떨었습니다....;
TCP접속도 체크하더군요.
난 완전 당한거야 무슨 파일들이 나갔을까 떨면서 IDA를 계속 보고 있는데
뭔가 이상합니다....

어디서 언젠가 본 드라이버