hoon

themida로 보호되어 가상화 난독화가 된 프로그램을 분석하려면 해당 프로그램을 실행하여 동적으로 분석을 진행해야된다. 하지만 그 프로그램이 악성 프로그램이라면? 물론 가상머신에서 동적으로 분석하면된다~ 하실 수도 있지만 가상환경에서 동작이 안되도록 설정이 된 경우도 있고고 가상환경이라고 중요한 정보가 없다는 것도 있고 가장 큰 이유는 귀찮다. 조금이라도 편하게 분석하자는 건 데 클릭질 몇 번이라도 줄여야 되지 않겠는가? 멘토님의 조언하에 unicorn이라는 에뮬레이터를 이용하여 프로그램 동작을 시킬 수 있는 대 실제 윈도우 운영체제의 PE LOADER를 구현하려면 window의 모든 동작과 구성을 다 알아야 되기 때문에 그건 불가능하여 최대한 간단하게! 윈도우가 세팅해주는 메모리와 비슷하게 설정을 해..

BoB 플젝을 하면서 처음 본 잔혹한 프로그램이다. Themida는 Protector의 일종으로 코드를 숨기기 위해서 주요 기능 packing, wrapping, virtualization을 지원한다. Themida로 protected된 프로그램은 알아먹기 힘들게 변하기 때문에 이를 이용한 게임핵, 악성코드를 분석하려면 하염없이 리버싱을 진행해야된다. 그것도 잘 설정된 분석환경에서!! (안티 디버깅 등등 뚫을 게 많다.) https://github.com/x64dbg/ScyllaHide를 이용해서 protected된 프로그램을 분석하였다.