뉴비에욤

악성코드가 분석을 어렵게 하기 위해 Anti VM 기법을 이용할 때가 있다. 이를 우회하기 위해 VM 이미지 파일이 있는 폴더의 vmx 파일에 다음과 같은 내용을 추가한다 isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.setVersion.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" monitor_control.disable_directexec = "TRUE" monitor_control.disable_chksimd = "TRUE" monitor_control.disable_ntreloc =..

영어로 작성된 원어 문서는 http://www.darkblue.ch/programming/IDA%20User%20Tutorial.pdf 이곳에서 받을 수 있습니다. 번역본 파일은 PDF로 첨부했습니다.

원본 링크 : http://www.websense.com/securitylabs/blog/blog.php?BlogID=176 그런데 링크가 죽었다...ㅠㅠ 악성코드 제작자들은 자신들의 바이너리(악성코드) 파일이 자동으로 언패킹 되는 것을 막기 위해 대부분 커스텀 패커나 프로텍터를 사용한다. 이는 안티바이러스의 탐지 기법 중 행위 분석을 위해 사용되는 시그니처가 생성되는것을 지연시킨다. "Scramblers" 라고 불리는 도구들은 시그니처 기반의 안티 바이러스 탐지 기법을 우회 하기 위해 패킹된 바이너리를 파일을 변조하는 목적으로 개발되었다. "MSLRH" 이라는 공개된 프로텍터는 바이너리 파일을 압축 할 뿐만 아니라 안티 디버그, 안티 덤프, "stolen-byte" 등의 기법까지 사용하면서 리버싱을 꽤..