[Malware analysis] Anti-VM(Ursnif) Ursnif 분석 시 Anti-VM 우회 부분을 정리한 내용이다. > 이전 Unpacking 내용> Anti-Reversing 참고 - 샘플 파일 다운로드> 첨부파일 Payload(decoding) 상세 분석 Ursnif 디버깅 진행 시 해당 시스템 정보를 얻는 것을 확인 할 수 있었으며, 해당 정보을 이용하여 Anti-Vm과 CPU 사이클 횟수 차를 이용하여 Rdtsc 안티 디버깅이 있는 걸 확인 할 수 있다. 즉, 해당 기법을 통하여 디버깅 유무를 확인하는 사실을 확인 할 수 있다. 그림 1 – Anti_VM, Rdtsc 안티 디버깅 먼저 Anti-Vm을 우회하기 위해 해당 “vbox”, “qemu”, “vmware”, “virtual h..
[Reversing] Anti-Reversing - 참조> http://unprotect.tdgt.org/index.php/Anti-debugging - 샘플 파일 다운로드> 첨부파일 샘플에 적용된 안티 디버깅, 안티 VM 기법에 대해 확인하였다. IsDebuggerPresent, CheckRemoteDebuggerPresent API 안티 디버깅 0x4019D0()에서 IsDebuggerPresent()을 이용하여 디버거를 통해 호출이 되었는지를 확인한다. 디버거 환경이 아니라면 “0”을 반환하고, 디버거 환경이라면 “0”이 아닌 값을 반환 한다. CheckRemoteDebuggerPresent()의 v1 즉, GetCurrentProcess() 현재 프로세스의 핸들을 얻는다. CheckRemoteDe..
- Total
- Today