Broken Code (window31)

Themida 2.0.7.0 이 릴리즈되었습니다 (2009/03/25)
Themida 패치 소식을 보면 항상 Improved 나 Added 가 많네요...
그정도 쯤 되면서 아직도 추가할 기능이 그렇게나 많이 남은것일까요 ;;

어쨌든 사용 기반이 넓으면서도 새버전 소식에 Bug Fix 가 적은 것은 참 좋은 모습 같습니다.
"Themida 는 버전별로 사야합니까?" 아니면 "하나사면 계속 제공받을 수 있습니까?" 라는
질문을 하시는 분들이 종종 계신데, 하나만 사면 이후 최신버전이 릴리즈될 때마다
메일로 계속 보내줍니다.
그러니 소프트웨어는 돈 주고 사시고, 최신버전 저도 좀 보내주세요.. 이런 댓글 혹은 메시지는 
안 남겨주셔도 됩니다 :)

Themida [2.0.7.0] (25-Mar-2009)
[+] Added new anti-dump VM 
 
[+] Improved detection of APIs to protect in API-Wrapping engine 
 
[+] Improved merging of sections in specific applications 
 
[+] Added compatibility with ImplicitImport option (in SecureEngine Config) and WinlicenseSDK.dll 
 
[+] Added check to detect if resources are already compressed 
 
[+] Added SecureEngine config option "NoThreadEngine" to disable the thread engine in protected application 
 
[+] Added SecureEngine config option "XBundlerHookMainOnly" to hook only main executable module 
 
[+] XBundler: Improved support for FindFirstFileW API in specific applications 
 
[+] XBundler: Improved compatibility with option "ActiveX" when DLL is selected to be extracted to disk 
 
[!] Fixed compilation error for multiple CHECK_CODE_INTEGRITY in Borland C applications 
 
[!] Fixed compatibility with CHECK_CODE_INTEGRITY in specific applications 
 
[!] Fixed exception searching for CHECK_PROTECTION macros in specific applications 
 
[!] Fixed compatibility issue in specific anti-dump VM 
 
[!] Fixed file patching check 
 
[!] Fixed exception when translating some components into Russian 
 
[!] Minor bugs fixed 


ps.
이런 release note 를 보는 것만으로도 Themida 나 Anti-Debugging 에 대해
많은 힌트를 얻을 수 있으니 잘 살펴보세요 :)

좀 오래된 플러그인이긴 한데, 별로 아시는 분이 없는 것 같아서 한번 소개해봅니다.
GODUP 라는 플러그인인데, 기능은 좀 잡종이라 이것저것 다 설명하긴 좀 그렇고요
(resource hack 이나 PE Scanner 같은 기능은 제쳐둡시다)
map loader 라는 기능, 이걸 한번 도마 위에 올려 보겠습니다 :)

이 기능이 어떤 것이냐면 map 파일을 플러그인에서 지정해 줄 경우,
현재 분석중인 바이너리를 map 파일로 매칭시켜서 디스어셈블리 창에 뿌려주는 겁니다.
즉, map 파일이 있는 바이너리를 분석할때는 아주 좋죠~
(map 파일이 없는 바이너리야 뭐 아무 상관없는 플러그인이지만...  ;;; )

한번 볼까요~

예를 들어 리버싱 시에 이런 코드가 있습니다.
뭐하는 call 문인지 안에 헤집고들어가서 후벼보기까진 알 수 없죠 :(


그런데 GODUP 로 한번 map 파일을 연결해주면 아래와 같이 바뀝니다!
올리디버거 상의 디스어셈블리 코드를 map 파일에 나온 함수명대로 연결시켜준겁니다 오 좋아요 ~!


자~ 이제 첫번째 call 문은 InitNSS() 라는 함수고, 두번째 call 문은 OnButtonStart() 라는
것을 알 수 있네요! 이름으로 추정해보면 대충 함수의 역할은 알 수 있죠 ㅎ 첫번째 함수는
초기화 루틴에 쓰일 것이고 두번째 것은 머 button handler 라는 것 까지 파악이 가능합니다 :)
그리고 이 함수는 CNSS_GUIDlg 라는 class 의 member 함수라는 것 또한 확인이 되고요

이런 기능 덕에 용이해지는 상황

1) 내 코드 리버싱
저희 같은 리버싱 떨거지 부류들은, 디버깅할 때 비주얼 스튜디오의 디버깅 환경을
이용하지 않고 (디버그 빌드 조차 안합니다 only Release Build ㅎㅎ) 자기가 만든
바이너리임에도 불구하고 ollyDBG 나 windbg에 붙혀서 디버깅 하죠 ㅋ
이런 상황일때 GODUP 는 아주 큰 힘을 발휘합니다.
적어도 내가 만든 코드를 보며 어디가 어딘지 몰라서 방황하는 시간은 확실히 줄여 줍니다 ;


2) 코드 컨설팅, 취약점 분석
코드 컨설팅 혹은 취약점을 찾고 있을 때
그 많은 코드를 모두 리버스 엔지니어링으로 확인하기는 사실 힘든 부분이 없지 않아 있죠.
그래서 부분적으로라도 개발팀에 소스를 요청하는데, 개발 보안 정책상 소스를 밖으로 빼낼
수 없는 경우도 있고, 컨설턴트 ㅅㅂ야 니가 어느정도 하나 보자 등 괜히 안줄때도 있습니다. :)

음 그럴땐 어떻게 어떻게 일단 map 파일이라도 받아냅니다.
그리고 그걸 현재 바이너리랑 맵핑시켜서 돌리면 오우~ㅋ
작업능률이 10배는 향상되죠.
그리고 소스 없이 리버스 엔지니어링만으로 상대방의 코드를 깔 수 있는 기회가
좀더 빠른 시간안에 생기는거죠 :p
(아으... 혹시 이 블로그를 보는 우리회사 개발자들 이제 저한테 맵파일 안주는거 아니겟죠 ;;; )

그래서 암튼 저는 주로 map file - exe file 맵핑에 이 플러그인을 많이 씁니다.

요점은 이런식으로 map 파일을 연결시켜주는 플러그인이 있고
그것을 올리디버거에서 이렇게 훌륭히 사용할 수 있다는 것이 되겠습니다 :)
그냥 악성코드만 보시는 분들은 필요 없는 플러그인이 될수도 있겠지만요...;

window31. 2009년 3월


ps
음 그냥 문맥상 코드를 깐다... 라고 표현했는데,
사실 실제 업무를 할때, 컨설팅 받는 입장이 더 고마운 것이긴 하지만
오히려 공격하는 입장에서 더 굽신굽신 해야 한다고 생각합니다.
코드를 공격하면서 거만하거나 매너 없는 사람... 크랙질이나 다를 바 없다고 보이거든요
진정한 남자라면 굽신모드.

늘 쓰던 Virtual PC 를 언제나 쓰던것처럼 쓰고 있는데,
똥누고 오니 화면이 이렇게 바뀌어 있더군요 ;






절대 합성 아닙니다...;
그리고 오만짓을 다해봤지만, 다시 윈도우즈 안으로 절대 들어갈 수 없었습니다 lol
안의 작업물도 날아갓고요 ㅠ ㅠ

또다시 이럴까봐 일단 화면 잠금 기능을 없애놓았습니다만 ;
이유는 무엇일까요...

1. 기계식 키보드를 쓰지 않는다.
쓰는 자기는 좋겠지만 또각거리는 소리 짜증내 하는 사람이 많습니다.
기계식 키보드는 집에 가서 방에서 혼자 있을때 썼으면 좋겠습니다.

2. 커어어어어억~ 퉤! 큰 소리로 가래를 뱉지 않는다.
가래 뱉고 싶으면 화장실로 -_-; 그소리 정말 불쾌합니다.

3. 핸드폰을 벨소리로 해놓지 않는다.
뭐 이건 당연한 매너겠죠...
그 좋아했던 곡이 이젠 지겨워지려고 하네요

잘 아시겠지만 이런 소리들은 처음엔 안 들리다가도
어느 순간 들리기 시작하면, 계속 그소리만 들립니다.
마치 토익 L/C 시간에 옆에서 누가 코를 훌쩍거리기 시작하면 외국인 목소리는 귀에 안들어오고
그때부터는 코 훌쩍거리는 소리만 들리는 것처럼요. lol

사무실은 여러 사람이 쓰는 "공용의 공간" 인 것을 주지하는 사람이 많았으면 좋겠습니다.

요즘들어 예의 없는 사람들 때문에 극히 불편한...
오랫만에 짤방 첨부

보호되어 있는 글입니다. 비밀번호를 입력하세요

 

피싱은 진짜 소재가 많은 것 같군요......

뭐 이렇게도 할 수 있으니까요 ;;



아 물론 이 페이지에서는 아무 정보도 보내지 않습니다 ;;

제목보고 "오~ 또 좋은 중국 사이트가 잇나" 하실 분들 계실지 모르겠지만
아쉽게도 해킹/보안 과 별 상관없는 중국 사이트를 알게 되어서 올려봅니다.

http://www.56.com/

요즘 막장 드라마...머 뭔지 다 아시죠?  이거 보느라 정신을 못차리고 있는데요
야근하거나 약속생겨서 놓치면 더 정신 못차리고 유료사이트에서 돈내고 보고 하는데여 :)
(진정한 리버서는 P2P 프로그램을 크랙하지 않는다 !!!!!!!!!!)
저 짱꿰이 사이트에서는 아주 실시간으로 올라 오네요 -_-;
(진정한 사나이는 훌륭한 사이트가 있으면 이용한다 !!)
오늘 한 방송... 늦으면 다음날 빠르면 그날 올라 옵니다 ;

아으 한동안 드라마에 빠져서 아듐마처럼 살았는데
저번주에는 유리의성, 이번에는 내인생의 황금기가 끝났네요 ㅠ ㅠ
이제 주말의 낙은 가문의영광밖에 없는것인가....ㅋㅋㅋ

드라마 안 좋아하시는 분들도 여친과 드라마에 몰입하다보면
어느새 세상만사 걱정을 잊고 막장에 엮이고 엮이고 엮이는 인간관계에 대해
여친과 함께 씹어대며 카타르시스를 느끼는 자신을 발견하게 되실 겁니다 :)

기존 연재가 끝나기도 해서 얼굴에 철판 한번 쫙 깔고 새연재 광고를 하겠습니다 :p

백신 우회가 주제인 "Bypass AntiVirus" 를 제목으로 3월부터 4회분량으로 나갈 거 같습니다.
어떻게 보면 "나쁜짓"을 공식 소프트웨어 개발 잡지에 싣는 것이 이상해 보일 수도 있겠습니다만
뭐 초삐리들이 살펴보고 바로 써먹을 수 있는 구체적이며 따라하기도 쉬운 나쁜짓을 다룬다거나
특정 회사의 백신에 대해 언급하고 욕하고 뭐 그런 내용이 되진 않을 것 같습니다.
취약점을 살펴보고 대응방법을 고민해보자.. 내용의 수준은 떨어지더라도 뭐 마음만은 거창하게
그렇게 쓰고 있습니다 :p


실전강의실 | Bypass AntiVirus

연재 순서
1회 | 2009. 3 | 바이러스 감지 회피의 원리
2회 | 2009. 4 | 실시간 감시 기능 취약점
3회 | 2009. 5 | 백신을 공격하는 악성코드
4회 | 2009. 6 | 키보드 보안 솔루션 취약점

마소플러스
괜찮아요 - 월간 마소 2009년 3월호
강병탁 / window31@empal.com / www.window31.com

남녀가 사귈 때 서로에게 가장 듣고 싶어하는 말이 무엇일까? 이것에 대한 설문조사 결과를 한 포털에서 본 적이 있는데, 남자 쪽의 결과가 매우 흥미로운 답이 나왔다. 먼저 여자의 경우는 “사랑해” 라는 말이 1위를 차지했다. 자신이 사귀는 남자에게 사랑한다는 말을 가장 듣고 싶어하는 것은 자연스러운 일이고 어찌보면 당연한 설문 결과로도 보인다. 그러나 남자의 경우는 놀랍게도 여자에게 가장 듣고 싶은 말이 “사랑해”가 아닌 “괜찮아요” 였다.

남성의 심리적 결과 해석

여자친구에게 사랑한다는 말보다 괜찮다는 말을 더 듣고 싶어하는 이유는 무엇일까. 그만큼 여자친구에게 잘못을 많이 한다는 것일까, 아니면 남녀관계를 객관적으로 따지고 보았을 때 남자 쪽에서 실수하는 경우가 상대적으로 더 많기 때문인 것일까. 설문에 참가한 이들에게 직접 물어볼 수 없으니 진실을 확인할 순 없지만, 아무튼 “괜찮아요”라는 말을 듣고 싶어한다는 얘기는 본인이 무언가에 쫓기듯 불안한 상태에 있고 상대방에게는 자신에 대한 배려나 위안을 바란다는 해석으로도 생각할 수 있다.

프로젝트 진행시 발생하는 커뮤니케이션 오류

이와 같이 “괜찮아요”를 필요로 하게 되는 경우는 개발 프로젝트를 진행할 때도 유사하게 나타난다. 대형 프로젝트의 경우 여러 사람이 함께 작업하며 진행한다. 프로젝트에는 개발팀이 있으며 영업지원팀, QA팀, 문서작업팀 등여러 팀이 존재한다. 개발팀에서 코드를 작성하여 기능을 구현하면 QA팀에서는 프로그램에 문제가 없는지 다각도의 테스트 진행을 한다. 테스트가 완료되면 문서작업팀에서 프로그램의 매뉴얼 작성과 FAQ 가이드 등에 대한 문서 처리를 하며, 영업지원팀에서는 프로젝트의 진행상황에 대해 고객사와 커뮤니케이션을 담당한다.

이윽고 납기일이 되어 제품이 릴리즈 되고 라이브 서비스가 시작된다. 하지만 프로그램에 문제가 생겨 사용자들은 불편을 겪게 된다. 당장 고치기에도 힘든 수많은 버그가 발생한다. QA팀은 버그 있는 프로그램을 개발한 개발팀을 탓하며, 개발팀은 문제도 사전에 발견해주지 못한 QA팀을 탓하게 된다. 버그가 많은 것도 모자라 고객은 프로그램 사용에 불편함이 많다 혹은 제대로 된 가이드가 없다 불만을 제기하기도 한다. 고객과 커뮤니케이션 하는 영업팀은 매뉴얼을 제대로 만들지 못한 문서작업팀을 원망한다. 문서작업팀에선 고객이 원하는 바를 제대로 전달해 주지 않아서 매뉴얼의 결과가 이렇다는 식으로 영업팀을 책망한다.

효과적 프로젝트 진행을 위한 "괜찮아요"

상황이 이쯤 되면 각 팀에선 문제를 해결할 생각을 하기에 앞서 원인을 남 탓으로 돌리기에 바빠진다. 그리고 많은 일들을 타인에게 미룬다. 직접 나서서 했다가 문제만 일으켜서 책임 쓰기 싫다는 이유로 항상 적당히만 하려 한다. QA팀에선 애매한 모듈에 대해 서로 테스트를 하지 않으려 하고, 개발팀에서는 누구의 코드 때문에 버그가 생겼다며 논쟁한다. 영업팀에서는 고객에게 온 연락을 다른 사람에게 넘기기 일쑤다.

이런 상황에 가장 필요한 것은 빠른 속도의 문제 해결이 아니라, 서로에 대한 배려일 것이다. 그리고 이해심이다. 자신의 잘못을 누군가가 커버해준다면, 그리고 실수를 보완하기 위해 모두 함께 노력해 준다면, 모든 문제는 원활하게 풀리지 않을까 싶다. 아니 설사 풀리지 않는다 하더라도 더 이상 나빠지는 사태만은 방지할 수 있지 않을까. 그렇다면 이 같은 배려심과 이해심을 표출시킬 수 있는 방법을 생각해 보자. 그 방법은 단 한마디로 말로 시작할 수 있다. 그것이 바로 “괜찮아요” 라는 표현이다. 다른 사람이 만든 실수지만 그래도 어떤 관점에서 보면 누구 한사람의 잘못이라고 꼬집일 수 없는 현재의 프로젝트 상황. 이 프로젝트의 일원들에게 설문조사를 하여 서로에게 가장 듣고 싶은 말이 무엇인지 알아본다면 아마 괜찮다는 말 한마디가 가장 높은 표를 얻지 않을까.

비록 개발팀의 실수 코드로 인해 버그가 탄생했더라도 QA팀에서 괜찮다고 말해주는 이해심, 그리고 테스트 단계에서 충분히 발견할 수 있는 문제가 그대로 릴리즈되어 고객사에게 일일히 해명하러 다니는 영업지원팀도 그정도는 괜찮다고 말해줄 수 있는 배려. 이런것이 바로 누군가와 같이 공동으로 진행하는 프로젝트에서 가장 중요한 것의 하나가 아닐까 한다.

하지만 “괜찮아요”라는 말을 듣고 싶은 대상은 어쨌든 문제를 더 많이 일으킨 입장일 것이다. 그리고 목이 말라서 우물을 파고 싶어하는 더 아쉬운 쪽이다. 남녀 관계도 어찌보면 두 사람이 진행하는 하나의 인생 프로젝트라 할 수 있다. 따라서 남자 쪽에서 “괜찮아요”를 더 많이 듣고 싶은 사람은 먼저 나서서 사랑한다는 표현을 써보라고 권하고 싶다. 마찬가지로 프로젝트 진행중 “괜찮아요” 라는 말을 듣고 싶은 개발자들은 먼저 자신이 그 말을 건네며 이해심을 베풀어 보는 것은 어떨까 한다. 그런 한마디 한마디로 인해 프로젝트에 밝은 분위기가 피어날 수 있고, 마치 베토벤 바이러스에 감염된 음악인들 처럼 배려심 바이러스가 구성원 사이 내부로 전파되어 프로젝트 진행에 더 좋은 결과를 낳을 수도 있지 않을까.