'Analysis'에 해당되는 글 3건
speedhack 분석 준비과정
Analysis/GameHack 2012. 9. 25. 21:17OpenProcess
VirtualAllocEX
WriteProcessMemory
(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA")
CreateRemoteThread
GetProcAddress를 통한 대상 함수포인터 가져오기
VirtualProtect로 엔트리에서 5바이트를 쓰기가능한 속성(PAGE_EXECUTE_READ_WRITE) 변경
0xE9 4byte 점프주소 계산
나머진 옵코드
GetTickcount
timeGetTime
QueryPerformanceCounter
SetTimer
timeSetEvent
obfuscated binary analysis - 1
Analysis/binary 2012. 5. 15. 14:14일단 테스트한건,
깨끗한 바이너리와 쓰레기 코드를 삽입한 바이너리를 비교함.
쓰이지도 않는 쓰레기 코드를 넣을 경우, 자주 삽입하게 되면 아래 그림과 같이 나타나게 되는듯 함.
(아래 그림1과 그림2는 위의 실험 결과를 나타냄)
지금 초록색 그림이 모두 주소값을 뜻하며, 파란색 부분은 스타트를 가리킴.
아래와 같이 그래프는 색깔 별로,
Yellow - Normal entropy
Dark Red - High entropy
...
...
...
성질을 갖으며 나타나게 됨.
- 참고
팩된 경우 빨간색을 볼 수 있는데 이 주소값들은 언팩 루틴을 가리키게 되어
결국 언팩 루틴 찾는 연구에도 괜찮을듯 보임.
이게 완전한 답은 아니지만
좀 더 파보고 대조군 생성해서 비교해보면 살살 답이 나올듯
- 쓰레기코드 삽입 전(그림1)
- 쓰레기코드 삽입 후(그림 2)
