Lena Reversing - tutorial 19_2

Lena Reversing tutorial 19_2

이번에는 Debugger Detected 프로그램을 분석하도록 한다.

프로그램 이름에도 나와있듯이 Debugger가 실행중인지를 판단하는 내용이 들어 있는 것으로 보인다.

 

프로그램을 실행해준다. 

초기 창이다. Verify 버튼을 누른다.

Debugger가 탐지되지 않았다고 나온다. 

이번엔 Ollydbg로 실행해준다.

debugger가 탐지 되었다고 나온다. 

분석을 진행해보자.

Search for -> All referenced text strings를 들어가준다. 

탐지되었다는 문자열이 세개가 보인다. 모두 breakpoint를 걸어주고 실행해준다. 

살펴보면 어떤 루틴 안으로 들어와있다. 

가장 위에는 CreateToolhelp32Snapshot 함수가 보이고 중간에는 눈길을 끄는 OLLYDBG.EXE 문자열을 비교하는 함수도 보인다. 

함수이름을 가지고 유추를 해보면 현재 실행중인 프로세스를 하나씩 불러와서 OLLYDBG.EXE와 비교하는 것으로 보인다. 

이 부분을 통해 계속해서 프로세스를 하나씩 가져와 비교하고 있다. 

따라서 OLLYDBG.EXE와 비교해서 같다면 분기한다는 부분을 고쳐주면 될것이다.

JE 00401234 부분을 NOP 처리해준다. 

 

copy to executable을 해서 프로그램을 저장해준다. 

Ollydbg로 열어서 진행을 해도 탐지되지 않았다고 나온다. 

끝.