4. 1. 개인 욕심
가상화로 보호 되어 있는 난독화 코드를 보면 포기하고 다른 루틴을 분석했던 나날..
5. 2. 업무에 쏟아지는 가상화된 바이너리들..
업무상 분석 해야 하는 파일들이 vmprotect로 많이 가상화 되어있었음.
6. 2) 개요
다루고자 하는 내용
1. 코드 가상화의 구조
Initialize Routine
Dispatch Routine
Instruction Handler
코드 가상화를 위 세가지 영역으로 분류하여 각각 어떠한
역할을 수행하는 지 분석합니다.
2. CPU Emulator Framework를 활용한 코드 가상화 분석 도구 개발
Unicorn Engine과 Capstone Engine을 사용하여 실행되는
Instruction Handler를 추출하고 동적으로 분석하여
VM CPU영역에서 실행되는 코드들을 추출합니다.
VMProtect 2.13.5 Maximum Speed 옵션 기준으로 내용을 다룹니다.
7. 3) 코드 가상화 구조
Real CPU
VM CPU
Initialize Routine
Dispatch Routine
Handler1 Handler2 Handler3 Handler4 Handler..
8. 4) 가상화 코드 분석
1. Real CPU
위 사진은 VMProtect SDK를 적용하고 아직 VMProtect로 보호하지 않은
함수의 코드입니다.
해당 코드들은 컴파일러가 생성한 때 묻지 않은 실행 코드들 입니다.
9. 4) 가상화 코드 분석
2. VM CPU
위 코드는 VMProtect로 보호하여 코드 가상화가 적용된 코드입니다.
.text:0041172F 주소에서 VM CPU로 제어권을 넘겨주는 것을 확인할 수 있습니다.
10. 4) 가상화 코드 분석
2. VM CPU
VM CPU 영역의 코드입니다. 코드가 대부분 난독화 되어있으며
CPU는 Bytecode를 기반으로 명령어를 해석 및 실행하는 가상머신 코드를 실행합니다.
11. 4) 가상화 코드 분석
3. Initialize Routine
Initialize Routine에서는 Bytecode Address를 Decode하는 작업을 수행합니다.
위 사진 기준으로 esp+50 위치에 Key가 존재하며 esi 레지스터를 기준으로 Decode 합니다.
12. 4) 가상화 코드 분석
3. Dispatch Routine
Dispatch Routine 에서는 Bytecode에 따른 VM Instruction Handler Address Decode
작업을 수행합니다. 그 후 Instruction Handler를 실행합니다.
15. 4) 가상화 코드 분석
Instruction Handler는 쓰레기 코드들로 넘쳐납니다.
16. 4) 가상화 코드 분석
Instruction Handler에서 최대한 의미 있는 코드들만 모아보면..
엄청나게 양이 적어집니다.. 위 코드는 esi(Bytecode)에서 Encode 되어 있는
4바이트 값을 Decode 후 ebp(VM Stack) – 4 위치에 덮어씌워주는 코드입니다.
sub esp,4
mov dword ptr ss:[esp], value 명령어는 push value 명령어와 같은 동작을
수행하기 때문에 위에서 봤던 엄청난 량의 코드들은 push imm32 명령어를
수행한겁니다.
Instruction Handler에서는 원하는 동작을 다 수행하면 Dispatch Routine으로
되돌아 갑니다.
17. 5) VM 명령어 추출 자동화 도구 개발
코드 가상화 기법으로 보호 되어있는 코드들은 엄청난 양의
코드들이 실행되기 때문에 수동으로 분석하기에는 어렵기도 하고
시간을 많이 투자해야 합니다.
우리의 시간은 소중하기 때문에 수동으로 분석하는 것 보다는
VM에서 실행하는 명령어들을 자동으로 추출해주는 도구를
개발하는 것이 몸에 이롭습니다.
저는 CPU Emulator Framework를 통해서 가상화된 영역을
에뮬레이팅 하여 분석에 필요한 정보를 추출했습니다.
18. 5) VM 명령어 추출 자동화 도구 개발
준비물
CPU Emulator Framework
Disassembly Engine
IDE
C/C++ 개발능력
19. 5) VM 명령어 추출 자동화 도구 개발
CPU Emulator Framework
Unicorn Engine
IDE
Visual Studio 2015
Disassembly Engine
Capstone
20. 5) VM 명령어 추출 자동화 도구 개발
VMProtect처럼 VM 코드가 엄청나게 난독화 되어있어도 몇 가지 규칙이 존재합니다.
esi 레지스터를 통해 Bytecode를 관리한다는 것
Dispatch Routine에서 push ret 명령어로 Instruction Handler로 이동하는 것
ebp 레지스터를 VM Stack으로 사용한다는 것
위 세 개의 정보만으로도 Unicorn Engine을 통해서 많은 정보를 추출할 수 있습니다.
21. 5) VM 명령어 추출 자동화 도구 개발
가상화 에뮬레이팅 전 필요한 정보들을 전부 설정해줍니다.
22. 5) VM 명령어 추출 자동화 도구 개발
VM CPU 영역 진입 후 처음으로 실행되는 Ret 명령어의 주소를 기록합니다.
23. 5) VM 명령어 추출 자동화 도구 개발
코드를 에뮬레이팅 하면서 아까 기록한 주소가 실행 될 때
실행되는 핸들러 정보와 레지스터 정보 가상 스택과 리얼 스택의
메모리 정보들을 저장해둡니다.
24. 5) VM 명령어 추출 자동화 도구 개발
이제 가상화 영역을 전부 에뮬레이팅 하면
아래의 정보들을 전부 확인할 수 있습니다.
핸들러 정보
레지스터 정보
가상 및 리얼 스택 정보
위 정보들을 이용해서 다시 각각의 핸들러를
에뮬레이팅 할 수 있습니다.
핸들러를 에뮬레이팅 하면서 의미있는 코드만 추출해
필요한 정보와 실행 코드 패턴 매칭이 가능해집니다.
25. 5) VM 명령어 추출 자동화 도구 개발
위 코드는 여러 정보를 이용해 핸들러를 에뮬레이팅 하고
추출한 패턴과 실행 코드 패턴과 매칭해 결과를 출력해주는 코드입니다.
26. 5) VM 명령어 추출 자동화 도구 개발
핸들러 에뮬레이터는 전달 받은 정보를 레지스터 및 메모리 정보를
재설정합니다.
27. 5) VM 명령어 추출 자동화 도구 개발
핸들러에서도 명령어를 처리하기 위해서는 Bytecode부터 읽어야하므로
메모리를 읽을 시 기록하는 레지스터를 저장합니다.
이제 기록된 레지스터 정보를 기반으로 의미 있는 코드를 추출합니다.
