한국어

tc_backup


MEW 11 SE 1.2 Packer로 패킹한 후 언패킹하여 보았다.
확인하여 보니 Entry Point가 첫 번째 Section이 아님을 알 수 있다.
디버깅을 하여 보면 아래에서 처음 시작하게 된다.

0047C526 >-E9 293CF8FF      JMP unpacked.00400154

가 나오고 해당 영역으로 점프해서 확인하여 보면 패킹된 데이터를 복호화하는 함수들이 나타나게 된다.

00400154   BE 1CA04500      MOV ESI,unpacked.0045A01C
00400159   8BDE             MOV EBX,ESI
0040015B   AD               LODS DWORD PTR DS:[ESI]
0040015C   AD               LODS DWORD PTR DS:[ESI]
0040015D   50               PUSH EAX
0040015E   AD               LODS DWORD PTR DS:[ESI]
0040015F   97               XCHG EAX,EDI
00400160   B2 80            MOV DL,80
00400162   A4               MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00400163   B6 80            MOV DH,80
00400165   FF13             CALL DWORD PTR DS:[EBX]
00400167  ^73 F9            JNB SHORT unpacked.00400162
00400169   33C9             XOR ECX,ECX
0040016B   FF13             CALL DWORD PTR DS:[EBX]
0040016D   73 16            JNB SHORT unpacked.00400185
........................... 생략 ...................................
004001F1   91               XCHG EAX,ECX
004001F2   40               INC EAX
004001F3   50               PUSH EAX
004001F4   55               PUSH EBP
004001F5   FF53 F4          CALL DWORD PTR DS:[EBX-C]
004001F8   AB               STOS DWORD PTR ES:[EDI]
004001F9   85C0             TEST EAX,EAX
004001FB  ^75 E5            JNZ SHORT unpacked.004001E2
004001FD   C3               RETN
004001FE   0000             ADD BYTE PTR DS:[EAX],AL
00400200   0000             ADD BYTE PTR DS:[EAX],AL
00400202   0000             ADD BYTE PTR DS:[EAX],AL
00400204   0000             ADD BYTE PTR DS:[EAX],AL

중간 복호화하는 데이터를 확인하여 보고 밑으로 더 내리다보면 결국에는 RETN이 나오게 된다.
해당 영역에 브레이크 포인트를 걸고 Run 한다.
잠시 후 브레이크가 걸리고 Step by로 RETN을 하면 OEP가 나오게 된다.


그러나 아직 Analyse Code가 이루어지지 않았다.
Analysis -> Remove analysis from module 메뉴를 이용하면 정상적인 코드 확인이 가능해진다.


OEP가 45834라는 것을 확인하였으니 IAT를 찾아야 한다.
Cntl + B 키를 이용하여 Serach for Binary를 이용하여 FF25를 검색한다.


Search를 통해 찾은 내용을 Dump 윈도우에서 Long->Address 타입으로 보게 되면 위와 같이 확인하기 쉽게 IAT를 볼 수 있다.

4486C4(끝주소) - 448104(시작주소) = 5C0(Size)


OllyDump나 ImpREC의 Dump 기능을 이용하여 일단 메모리에 로드된 데이터를 Dump하고 ImpREC 툴을 사용하여 IAT를 수정하고 Fix Dump하여 주면 정상적으로 Unpacking 완료이다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
160 Windows Windows Vista의 볼륨 섀도 복사본 관리 또는 백업 파일 추출 file 엔신 2009-04-16 36609
159 ETC SK브로드밴드 주택광랜(100M) 가입~ file 엔신 2009-04-08 9981
158 Incident Response Dcode - Forensic Date/Time Decoder file 엔신 2009-04-05 15567
157 Malware Zero Wine Malware Analysis Tool [4] file 엔신 2009-04-05 23189
156 Security ARP Spoofing(ARP Cache Poison) 참고 file 엔신 2009-03-31 24896
155 Wireless WirelessKeyView 엔신 2009-03-21 9749
» RCE [Unpack] MEW 11 1.2 -> NorthFox/HCC file 엔신 2009-03-20 23356
153 RCE [Unpack] UPX_+_UNOpix_Scrambler 1.10 secret 엔신 2009-03-18  
152 RCE [Unpack] USSR_0.31 [2] [1] file 엔신 2009-03-17 13104
151 Security 범죄적으로 지능화된 싸이월드 방문자 추적기 [6] file 엔신 2009-03-16 24781
150 RCE [Unpack] VCrypt0[1].9b 엔신 2009-03-14 9426
149 Malware 악성코드 정의 엔신 2009-03-14 13626
148 Malware [Trojan] Tigger/Syzor.A file 엔신 2009-03-13 10004
147 Windows VMware VMwareDnD 폴더 엔신 2009-03-07 45791
146 Malware BlackEnergy_DDoS_Bot_분석 [2] file 엔신 2009-02-25 9199
145 RCE [MUP] UPX & Stolen Bytes [2] file 엔신 2009-02-17 48196
144 Linux Linux find 명령어 완전 정복 가이드 엔신 2009-02-10 11054
143 RCE vmware에서 Kernel Debugging 하기 엔신 2009-01-31 20188
142 DBMS mysql 설치 후 root 비밀번호 설정, db 생성 엔신 2009-01-31 12743
141 Security base64 code 표 file 엔신 2009-01-20 116675