VMProtec라는 가상화툴로 패킹한 오토핫키 파일을 디컴파일중인데 너무 어렵네요.
Themida랑 Upx는 여러번 디컴해봐서 이제 손에익는데
오늘 발견한 저 암호화는 언패킹이 쉽지가 않네요.
어셈블리 자체가 가상화 되있어서 어떤것도 읽을수가 없네요.
혹시 관련정보나 언패킹 방법을 아시는분은 도움바랍니다.
언패킹을 못하니 디컴은 시도도 못하고있네요.
- Elkha - Blue
- 오토핫키 커뮤니티
- 오토핫키
질문
2014.12.04 22:27
VMProtect Unpack
조회 수 14030 추천 0 댓글 17
-
-
언패킹이 왜 불법이라는거죠?
이해가 안되네요.
리버싱은 보안의 한분야입니다. -
맞는말이긴합니다만 이걸악용하는분들이계시기때문에 글을지우시는게좋지않을까싶습니다. 이게시글신고하면 아마아이디제제도먹으실겁니다.. 여기만해도 좋은 오핫프로그램들이많은데 분명악용의소지가생기게됩니다..
-
어딜봐서 악용할수있다는거죠?
디컴하는법은 한글자도 안적혀있고 오히려 vmprotect가 뚫기 어렵구나 라는 생각으로 vmprotect로 자기코드 보호하는분들이 생길거같은데요. -
오핫게시판에서 언팩물어보시면 다들 답변 잘안하시죠.
패킹을 물어봐도 답변이 적은데.....언팩은 더더욱....
리버싱이 보안의 일부인건 리버싱을 알아야 보안을 강화할수있어서일뿐이죠.
차라리 리버싱사이트나 카페에 올리시는게 더 빠를듯합니다.
?
-
구글링 수시로 하면서 조금씩 공부하고있습니다.
처음부터 명쾌한 답이 나올거라는 기대로 올린글은 아닙니다.
혹시 싶은마음에 올린글이죠. -
크랙미나 tuts4you 맞나? 거기에 리버싱 정보가 굉장히 많습니다
예전에 제가 vmprotect 언패킹했던 방식을 적어볼게요일단 패킹된 파일의 OEP를 찾아야하니까
올리디버거로 열어서 코멘트부분에서 Entry Point 를 찾고찾았으면 거기서부터 밑으로 쭉 내려가다보면, ZwContinue가 보입니다.
F7 누르고 계속 밑으로 진행하다보면
FastSystemCall 이 나옵니다. F7로 다시 한번 더 실행하세요SYSENTER가? 나올텐데 거기서 F8로 진행하면
드디어 PUSH EBX , EBP 등의 레지스터가 보일꺼에요계속 진행하다보면? POP 레지스터가? EAX값으로 점프되는걸 확인하실수있으실거에요
그러면 EAX주소로 JMP 하면
Entry 포인트 알았고, EAX값 아니까 OEP도 알겠네요F7 눌러서 진행한 다음 코드재정렬 한번 해주세요
언패킹 끝났으니 파일 덤프뜨고 IAT 재정렬 해주세요
이제 파일 헥스레이로 열어보면
VMProtect begin 이 보입니다. -
말씀하신 두 사이트 모두 돌아봤지만 최신버전에 대한 정보는 없더군요,
더군다나 올리디버거 세팅이나 그런거에 영향을 많이 받는데 그런 정보도 부족하고요
고수들이 올린 영상에서는 디버깅 감지 안당하고 엔트리포인트를 잘 찾는데 제가 할때는 항상 막히더라고요
요즘은 그냥 포기하고 살고있어요 ㅋㅋ -
아 좀 예전글이였군요. 가상화 검색하다 왔습니다ㅋㅋ
안티리버싱이 적용된 프로그램의 경우에는 또 함수를 후킹해줘야해서.. 굉장히 번거롭습니다 -
그 번거로움때문에 한 2주정도 붙잡고있다가 포기해버렸어요.
리버싱은 취미로 조금조금씩 할만한 작업은 못되더군요. -
처음에는 삽질의 연속이다 보니.. 아무래도 그렇죠 ㅠㅠ 저도 지쳐서 흥미를 잃어버렸습니다 ㅋㅋ
괜히 보안전문가가 있는 이유가 아니겠죠 -
vm프로텍트는 디컴이 어려운가보군요? 혹시 더미다로 패킹하고 그 패킹한걸 다시 vm으로 패킹할수있나요?
-
그부분은 잘 모르겠습니다.
-
혹시 지금은 성공하셨나요?
제가 프로그램 관련 지식은 없고...
지금 하나 vm프로텍트 언팩해보고 싶은 게 하나 있는데 인터넷같은 데 돌아다니는 언패커들은 다 사용법이 어렵네요 ㅠ
-
저는 아직도 성공하지 못했습니다.
-
/////
-
아뇨 이미 예전에 해결했습니다.
그리고 이게 공개적으로 쉽게 구할 수 있다는 정보가 되버렸다는 점에서 무척이나 안타까운 심정이고요.
리버싱을 공부하는 사람이 아닌 디컴을 악용하려는 사람에게까지 정보가 너무 쉽게 제공된다는 점에서말이죠.
0
-0
?
글 자삭하세요 .. 엄연한불법입니다