바이너리 패킹의 시대
IT의 눈부신 발전으로 지속되는 해킹과 크래킹 덕에 이제는 제품 릴리즈 전에 패킹하는 시대를 맞이하였다.
<Fig1. NPC 주제에 욕이라니! >
Themida 같은 Packer/Protector로 보호된 프로그램은 Code Virtualization를 사용하여 Origin Code로 복원되는 시점이 없고 다양한 난독화 기법으로 Virtualization 영역이 보호되어 있어 역공학시 많이 까다롭다.
그런데 이러한 기술이 엉뚱하게 악성코드 보호에 악용되어 악성코드 분석 및 대응에 어려움을 겪고 있다.
특정 백신은 unpack을 성공하지 못하면 바이러스로 잡기도 한다.
<Fig2. Packed/Themida >
그리하여 궁금해졌다. Themida 2.2.3.0은 뭐로 보호할까? 전 버전으로? 아니면 새로운 버전으로?
궁금증을 해결하기 위해 공식 홈페이지 http://www.oreans.com 에서 2.2.3.0 Demo를 다운로드를 받았다.
<Fig3. Themida Demo >
다운로드 받으면서 버전 업데이트 히스토리를 봤다.
2.2.2.0 버전에서도 기능향상 및 버그 수정 업데이트를 많이 했다.
<Fig4. Themida Update >
.net 이슈로 2.2.2.0 나오고 얼마 지나지 않아 2.2.3.0이 나온걸 확인 할 수 있다.
자 이제 확인해 볼까?
<Fig5. Themida v2.2.3.0 >
마찬가지로 Anti-debugging, Monitor blocked가 적용되어 있으며 Section 정보만 하더라도 Themida가 가지고 있는 형태이다.
좀더 알기 위해서 olly에서 살펴보니... Code Virtualization 기능, API wraping 등등이 적용 되었으며 보호 할 수 있는 모든 풀옵션을 적용한 것으로 예측 된다. 아무래도 자기들이 만든거니깐...
<Fig6. A SSA >
결론으로 Themida 2.2.3.0은 Themida 2.2.3.0으로 보호되고 있으며 델파이로 만들어졌다.
<Fig7. Delphi >
데모버전은 2.2.3.0 밖에 제공되지 않는다.
10월 14일에 2.2.6.0가 릴리즈 되었다. 어떻게 바뀌었을까? 보고싶다.
<Fig10. New Released >