[Reversing] PEB, Anti-Debugging
[Reversing] PEB, Anti-Debugging PEB란? Process Environment Block로 프로세스에 대한 환경 정보를 담고 있는 것을 알 수 있다.각 프로세스들 마다 PEB를 가지고 있으며, 스레드로는 TEB를 가지고 있다.FS:[18] = TEB 주소 PEB의 안티디버깅에 대해 작성을 해보면, PEB Structure 을 살펴봐야 된다. +0x002 BeingDebugged 해당 멤버를 살펴보면 디버깅 중일 때 해당 멤버의 값은 '1'로 설정이 된다.우회를 하기 위해서는 PEB[2] 값을 '0'으로 수정하면 된다.참고, Kernel32.dll에서 IsDebuggerPresent() 함수가 이 필드를 참고하여 디버깅 상태 확인 후 리턴값을 준다. +0x018 ProcessHea..
[Reversing] ZwSetInformationThread, Anti-Debugging
[Reversing] ZwSetInformationThread, Anti-Debugging ZwSetInformationThread의 두 번째 인자 값을 확인하여 안티디버깅 유무를 확인 할 수 있다. 두 번째 인자 값에 0x11(ThreadHideFromDebugger)를 전달할 경우 디버깅을 체크 확인하여, 우회를 원하면 해당 값을 0으로 수정하면 된다. typedef DWORD (WINAPI *PFZWSETINFORMATIONTHREAD) ( HANDLEThreadHandle, DWORDThreadInformationClass,// Original : _THREAD_INFORMATION_CLASS PVOID ThreadInformation, ULONG ThreadInformationLength); t..
[Reversing] Anti-Reversing 샘플에 적용된 안티 디버깅, 안티 VM 기법에 대해 확인하였다. IsDebuggerPresent, CheckRemoteDebuggerPresent API 안티 디버깅 0x4019D0()에서 IsDebuggerPresent()을 이용하여 디버거를 통해 호출이 되었는지를 확인한다. 디버거 환경이 아니라면 “0”을 반환하고, 디버거 환경이라면 “0”이 아닌 값을 반환 한다. CheckRemoteDebuggerPresent()의 v1 즉, GetCurrentProcess() 현재 프로세스의 핸들을 얻는다. CheckRemoteDebuggerPresent()에서 해당 프로세스를 확인하여 디버깅 유무에 대해 반환 해준다. 보통 디버깅을 탐지했을 때 종료하는 코드로 진..