vmprotect 로 패킹 된 프로그램은 로그인 우회 하려 한다하면
로그인 분기 , 상태 변수 등등 아예 분석 불가임?
브포 걸고 찾아도 도저히 안보여서
본인은 리버싱 꼬마임
함수들이 가상화 걸려서 막 이상한 코드가 보이고
이런건 아닌거 같은데 설령 가상화가 들어가있다해도
본인이 듣기론 서버 관련 함수들에는 가상화 안건다고 하던데
속도 문제 때문에
vmprotect 로 패킹 된 프로그램은 로그인 우회 하려 한다하면
로그인 분기 , 상태 변수 등등 아예 분석 불가임?
브포 걸고 찾아도 도저히 안보여서
본인은 리버싱 꼬마임
함수들이 가상화 걸려서 막 이상한 코드가 보이고
이런건 아닌거 같은데 설령 가상화가 들어가있다해도
본인이 듣기론 서버 관련 함수들에는 가상화 안건다고 하던데
속도 문제 때문에
동적으로하면 런타임 시점에는 다 풀림... 문제는 그게 API도 뭉개놓은 상태여서 로그인 분기인지 아닌지 파악부터 하기 힘들 뿐이지 특히 vm은 함수콜을 말그대로 vm처럼 수행하기 때문에 더 난이도 높음
동적으로 런타임 시점에선 패킹 된것도 풀린 상태로 메모리 로드 되는거라고 그렇게 듣긴함 예를 들어 로그인 실패 메세지가 나온다치면 서버 관련 함수에 브포 걸어서 f8로 진행시킨다음 해당 모듈 진입 했을 경우 보통 같으면 그 상태에서 f8로 계속 진행하면 메세지 박스가 뜨는게 맞지 않음? 근데 시스템 모듈로 가다가 이탈 당함 이게 vm 관련 문제인건가 ?
디버거 어태치 하는순간부터 vm이 감지하고 꺼버림 이겅 우회를 해야댐
근데 디버거로 불러 오고 f9 눌러서 실행해서 폼 띄우는거까진 가능하던데 ScyllaHide 쓰니까
API 뭉개놨다는게 API함수콜을 안한다는거임 버추얼 포인터처럼 부르기때문에 서버관련 함수가 recv send 이런 함수라면 당연히 안됨 ㅇㅅㅇ..
winhttp 등등 전부다 안되겠네? 그럼 할 수 있는 방법은 아예 없는거? 언패킹을 하는거 아닌 이상? 부분적 언패킹이란 방법도 있다곤 하던데
걍 덤프떠서 ida로 열어봐
덤프 떠서 ida로 본다고 나옴? ida는 안써봐서 미숙하긴한데
지금 어디를 브레이크 걸지 못 찾는거 아님?
winhttp 쓴다면 옛날 프로그램 아닌가? windows api나 호출할때 난독화되어있지 다른 DLL 호출은 아닐껄
로그인 버튼을 눌렀을때 어떤 함수로 통신 하는지를 일단 알아야 하잖아 winhttp 로 통신하는데 해당 모듈 안에 특정 함수에 브포 걸고 로그인 버튼 누르면 해당 함수에서 멈춤 즉 로그인 버튼 눌렀을때 해당 함수를 쓴다고 할 수 있겠지? 근데 문제는 그 해당 함수 지나고 메인 모듈로 진입했을때 f8 눌러서 진행하다보면 원래는 메세지박스가 떠야함
왜냐 실패했으니까 근데 메세지박스는 안뜨고 f8로 코드진행 하다보면 시스템 모듈로 빠지고 더 진행하면 이탈 됨 그니까 문제인거임 로그인 분기를 찾을 수가 없는거지
왜 시스템 모듈로 빠지는지 봣음?
x64dbg로 봤는데 왜 인지는 파악 못함 근데 원래 메인 모듈로 진입하면 메인 모듈에서 메세지 박스를 띄워야 하는게 맞지 않음? 로그인 처리가 시스템 모듈 이후에 있는게 아닌 이상은 메인 모듈에서 코드진행 하면 메세지박스가 떠야하는데 안뜨고 시스템 모듈로 갔다 바로 이탈하는거 보니 가상화나 패킹 문제가 아닌가 하고 어리짐작 중임..
패킹만 된거면 님 레벨에서도 분석 가능 가상화 된거면 구현 따라 다름
전자는 언패킹 하는법 모르면 덤프랑 디버거 잡고 실행해논거 보면서 분석하는게 제일 편함
가상화 까지 되었다는거 같은데 내가 보기엔 일단 가상화 까지 되었다기엔 안에 어셈 내용들이 막무가내는 아닌거 같은데 vmprotect 완전 언패킹은 되게 오래 걸리고 어렵다고 하는데 부분 언패킹은 가능하다고 하던데 일단 지금 제일 문제는 f8로 진행 시에 메세지 박스가 안뜨고 시스템 모듈 갔다 이탈 되는게 문제임
바이너리 올려봐라
여따가요 행님?
난 패킹된거 그냥 반 포기하는 느낌으로 response 같은거 조작하긴 함
그것도 생각 안한건 아닌데 애초에 패킷캡쳐에 안뜨게끔 되있기도 하고 설령 응답값 알아내도 암호화 되어있어서 의미 없을 확률 높음..
라이브러리 후킹해서 https 복호화 하는 곳까지는 타고 들어가야 할듯? 아니면 야매로 hosts 조작해서 내 서버로 돌려도 되긴함 (체크하는 루틴 없다면)
옛날에 ㅈㄴ 야매로 치엔으로 https 검색해서 내 주소로 돌려서 데이터 조작한 기억이 ㅋㅋ (1회성이지만)
근데 어떤 언어로 제작되어 있음?
델파이인듯 보니까
로그인 보낼때 패킷을 쏘잖음 패킷 쏘는 메서드에 bp 걸고 역추적