본문 바로가기

Security/소프트웨어 보안

[분석] nossvc[nProtect].exe 분석 프로젝트(1)

반응형

먼저 nProtect.exe 의 프로그램을 분석해보자.


Ollydbg에는 바로 안들어간다 아무래도 anti-analysis 기법이 적용되어있는듯함



다시 돌아가서 PE_View 툴을 사용하여 exe 의 구조를 살펴보았음.


여기서 특이점을 볼수가 있는데. 바로 맨밑에 두개의 섹션 이름이다

1. SECTION rmyrxlrl

2. SECTION gpjbwpzy


이 두개의 섹션이 있으면 난독화 도구의 한종류인 [Themida]가 적용되어있을거라 예상가능.

참고로 Themida 난독화 도구를 사용했을때 다음과같은 특징이있음:


1. 맨뒤의 섹션의 이름이 랜덤으로 8바이트로 생성되어짐

2. 옛날 버전이면 .Themida라는 섹션이 있음


따라서 해당 exe파일은 themida에 의해서 난독화가 되어진거같음.


지금 생각나는 방법으로는 동적분석을 진행해야할꺼같다.


동적분석은 종류가 매우 다양하다고 알려져있음.


1. Pintool (intel사의 DBI 프로그램)

2. Symbolic Execution

3. taint analysis

...등등


여기서 지금 그나마 가장 익숙한 Pintool을 사용해서 분석을 진행

먼저 nossvc.exe안에 들어가있는 api들을 조사해보았다.


난독화가 되어있어도 동적분석을 사용하여 내부에서 사용된 API목록들을 얻을수가 있었다.


하지만 IAT(Import Address Table)도 난독화가 된 이유로인해 하이라이트된(unnamedImageEntryPoint)가 매우많았다.


해당부분을 분석이 필요함.


반응형