티스토리 뷰
728x90
반응형
[Reversing] Packer, Crypter, and Protector
참조
> https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/
Packing
패킹은 포장한다는 의미로 두가지 종류로 분류할 수 있다.
첫번째로는 파일 사이즈를 줄이는 목적으로 컴프레서가 있으며 대표적으로 UPX 패커가 있다 실행 압축이라고도 불린다.
두번째는 파일을 보호하는데 목적으로 프로텍터가 있다. 사이즈는 늘어나지만 안티리버싱이나 난독화를 통해 분석이 어렵도록 한다.
Compressor
일반적으로 'runtime packers" 약자이다. 해당 기술은 실행 가능한 압축으로 이런 종류의 압축은 파일을 더 작게 만들기 위해 나왔다고 한다. 하지만 더 작은 파일의 필요성이 사라지면서 대부분 악의적인 목적으로 쓰인다. 리버싱을 더 어렵게 만들기 위해서 사용되고 있다.
대표적인 UPX 패커는 실행 압축이란 표현의 패킹/언패킹 개념
Protectors
리버싱을 방지하기 위한 부분으로 패킹과 암호화를 모두 포함 할 수 있다. 대부분 포함하고 있으며, 리버싱을 어렵게 만든다.
Crypter
우회하는 것이 본연의 목적으로 일부 패커와 동일하며 난독화라고 불린다. JavaScript나 VBScript에서 자주 사용된다.
크립터가 된 파일 역시 크립터를 디코딩 후 분석이 필요하다.
728x90
반응형
'Reversing > ETC' 카테고리의 다른 글
| [Reversing] PEB Structure (0) | 2019.10.31 |
|---|---|
| [Reversing] RaiseException dwExceptionCode_SEH (0) | 2019.10.21 |
| [Reversing] Printf()함수 스택프레임(Stack Frame) (0) | 2019.06.30 |
| [Reversing] 스택프레임(Stack Frame) (0) | 2019.06.28 |
| [Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) ② (0) | 2019.06.07 |
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today