본문 바로가기

분석 TIP/프로텍션6

Themida 도구 언패킹 방법 https://github.com/ergrelet/unlicense GitHub - ergrelet/unlicense: Dynamic unpacker and import fixer for Themida/WinLicense 2.x and 3.x.Dynamic unpacker and import fixer for Themida/WinLicense 2.x and 3.x. - ergrelet/unlicensegithub.com 위 사이트에서 최신 도구를 다운로드 받은후, 아키텍처 (32비트/64비트) 구분하며,언패킹하는 파일의 확장자는 반드시 적어서 도구를 사용한다. 파일 크기에 따라 덤프를 생성하는데 시간이 소요되며, 완료된 파일의 경우 디버깅은 불가하며 IDA를 통해 코드 확인이 가능하다. 2025. 4. 29.
VMProtect 메뉴얼 언패킹 방법 1. 패커를 확인 후 x32/64dbg 디버거를 통해 VMP로 패킹된 파일을 연다. 2. 비어있는 .text 섹션에 하드웨어 브레이크 포인트를 쓰기로 걸어 둔다. 3. 실행(F9)를 할 경우 .text 섹션에 첫번째 바이트에 실제 코드가 쓰여진다. 4. 이후 해당 위치에서 `CTRL+F9(Execute till Return)`을 입력하면 리턴 명령을 만날때까지 실행하여 패킹이 풀린다. 5. OllyDumpEx 플러그인을 통해 덤프를 떠서 IDA로 확인한다. VMProtect 버전 별로 차이가 있지만, Ctrl + F9를 통해 리턴까지 실행하라고 하면 Text 섹션에 한번에 쓰는게 아니라 짧은 바이트씩 쓰는 경우가 있다. 이럴 경우 가만히 기다릴 수 없는 형태로 HWBP자체를 .text 섹션의 메모리 마.. 2025. 4. 28.
Powershell 난독화 풀기 1. 한 줄짜리 코드 줄바꿈(Beautify) 난독화 스크립트는 보통 한줄로 되어 있으며, 이를 보기 편하게 수동으로 줄바꿈을 해줘야 한다.; 또는 | 기준으로 줄 나눔if, function, foreach, while 등 앞에 줄바꿈중괄호 {} 들여쓰기로 정리 2. 동적 실행 함수 출력 함수로 전환 Write-Host / Write-Output으로 중간 값 출력Invoke-Expression (IEX) → Write-Output로 교체. (dot-sorucing) → Write-Host로 교체 dot-sourcing (.) 이란?더보기현재 세션에서 실행하면서, 내부 함수나 변수를 현재 스코프에 그대로 가져오는 것이다. . ([scriptblock]::Create($evilCode))에 담긴 코드를 현.. 2025. 4. 8.
VBScript 난독화 풀기 1. 난독화 도구 사용 수동으로 작업하기 전에 자동 난독화 해제 도구를 통해 분석해 본다. VBE코드의 경우 '@~^' 로 시작되고 뒤에 난독화 된 문자열이 이어지는 패턴이다. (Microsoft Script Decoder 선택 후 Recipe에 드래그앤드롭)CyberChef CyberChef gchq.github.io 2. VBScript 코드 정리 한 줄에 여러개의 명령어를 작성할 때 : (콜론)을 사용하는데 이를 줄바꿈으로 치환: (콜론) → :\r\n 또는 조건문, 반복문, 함수 정의, 블록 끝으로 치환 (Notepad++ 정규표현식 모드)(\bIf\b|\bFor\b|\bSub\b|\bFunction\b|\bDo\b|\bWhile\b|\bElse\b|\bThen\b) → \r\n\1 Notepa.. 2025. 4. 6.
도구로 쉽게 난독화 풀기 예시 2025. 4. 2.
JavaScript 난독화 풀기 1. 도구를 통하여 코드 정리 난독화된 JS의 경우 줄 바꿈 없이 전부 한 줄로 되어있는 경우가 많다. 아래 사이트 도구를 통해 코드를 보기 쉽게 만든다. 또는, Notepad++플러그인에서 JSTool → JSFormat을 통해 코드 정리가 가능하다. https://beautifier.io/ Online JavaScript beautifierBeautify JavaScript, JSON, React.js, HTML, CSS, SCSS, and SASSbeautifier.io 2. 도구를 통하여 난독화 해제 de4js - 다양한 난독화 패턴 자동 분석https://lelinhtinh.github.io/de4js/ de4jsJavaScript Deobfuscator and Unpackerlelinhtinh.. 2025. 4. 1.

티스토리툴바