[교육] 리버스 엔지니어링 교육 - Day 3

 

 

1. IDA plugin

ProgramFiles\IDA\plugin에 넣어두면 자동으로 등록된다. 동작하지 않는다면 IDA의 edit-plugins에서 항목을 클릭하여 실행하면 된다.

 

2. OllyDBG

시리얼 정보 취득을 위해 S/W 브레이크 포인트와 H/W 브레이크 포인트를 잘 활용하여 사용한다.

시리얼 정보를 비교하는 부분에 대해 S/W 브레이크포인트를 달아두고, 시리얼번호를 입력받은 후 레지스터 값을 알아보기 위해 레지스터 follow dump를 뜬 다음 해당 위치에 H/W 브레이크 포인트를 걸어둔다. 그리고 시리얼을 입력하면 레지스터에 등록된 값과 비교 대상의 값이 나타난다. 이 부분이 실제 필요한 시리얼 번호가 된다.

시리얼 번호를 Generate하는 부분을 찾기 위해서, 제너레이션의 기준이 되는 글자에 메모리 또는 하드웨어 액세스( Read ) 브레이크를 걸어두고 추적하면 된다.

OllyDBG는 www.ollydbg.de 에서 무료로 배포 받을수 있다.

 

3.

Trace over ( Ctrl + F12 ) 기능을 이용해서 op 실행 히스토리를 추적할 수 있다.

 

4.

실행파일내에 자식 프로세스를 OllyDBG 2.0 ( 빨간색 아이콘 )으로 디버깅한다.

 

5.

OllyDBG 의 Attach 기능을 활용한다. Attach기능은 현재 실행중인 프로세스를 디버깅하는 기능이다.

excute til user code ( alt + F9  ) 를 두번 해준다. Attach하면 마우스 포인트 DLL 위치를 가리키고 있기 때문이다.

 

6.

외주에 암호화 작업을 맡겼다고 할지라도, 실제 보안성 검토를 해보면 XOR 암호화 정도만 하는 경우가 많이 있다. 소스코드에서 확인도 중요하지만, 실제 컴파일된 ASM단에서 암호화가 잘 되어 있는지 실체를 확인하는 것이 좋다.

 

7.

DeRox( OllyDBG 1.0 )은 Thread와 Just in time에 대한 버그가 많았다. 추가 플러그인없이 수정한 코드를 저장할수 있다.

OllyDBG 2.0 ( 빨강 )은 Thread와 Just in time에 대해 버그를 수정했다. 수정한 내용을 저장하려면 플러그인을 설치해야 한다.