0comments

upx 예제

현재 예제에서 OllyDmp 플러그인 가져오기 테이블 수정을 처리 합니다. 포장 된 파일은 반드시 위험하지는 않지만 pestudio와 같은 도구는 그것에 대해 많은 것을 알 수 없습니다. 예를 들어 pestudio의 문자열 기능은 EXE 이미지에서 URL, 프롬프트, 메시지 와 같은 일반 텍스트 문자열을 찾는데, 이는 종종 매우 유익하지만 이미지가 압축된 경우 대부분의 텍스트는 보이지 않습니다. “실용적인 악성 코드 분석” 책(랩 1-2)에서 사용할 수 있는 예제를 살펴보겠습니다. 이 파일은 UPX로 포장 된 것 같습니다 : UPX를 사용하면 바이너리를 살펴보면 토큰으로 사용되는 “UPX!”를 사용하는 ASCII 코드 시퀀스를 찾을 수 있습니다. 예를 들어 부팅 함수가 __TEXT 세그먼트를 스크롤하지 못하게 된 바로 전에 그 중 하나를 볼 수 있습니다. UPX는 MacOS에서 중요한 모든 종속 라이브러리를 로드하는 것과 같이 다루지 않는 흥미로운 것들을 많이 수행합니다. 그러나 이것은 당신에게이 패커가 작동하는 방법에 대한 아이디어를 제공합니다. UPX는 암호화하지 않습니다, 이는 확실히 당신이 할 수있는 일이다, 그것은 악성 코드 특정 기능으로 조금 이동하지만. 그러나 하루가 끝나면 파일이 포장되었는지 명확하게 알 수 있습니다. 문자열이 없거나 거의 없습니다. 라이브러리 종속성이 없거나 거의 없습니다.

그리고 실행 형에서 정의 된 함수는 매우 작습니다. UPX는 기본 패커이며 언패킹을 배우고 자하는 사람들에게 훌륭한 모범이 됩니다. 환경 변수 UPX는 UPX에 대한 기본 옵션 집합을 보유할 수 있습니다. 이러한 옵션은 먼저 해석되며 명시적 명령줄 매개 변수로 덮어쓸 수 있습니다. 예: EXE 압축을 풀면 맬웨어로 플래그가 지정될 가능성이 낮아질 수 있습니다. 차이점은 매우 미미합니다 – UPX는 대부분의 바이러스 백신 엔진이 압축을 풀고 정상적으로 확인한다는 것이 잘 알려져 있지만 볼 수 있습니다. 예를 들어, 우리는 무선NetView 는 UPX의 버전에 대한 VirusTotal에서 11/57점을 획득하여 압축을 풀었을 때 8/57로 떨어졌습니다. . . 더 많은 배경 정보는 위키백과 항목을 참조하십시오. 글쎄, LC_SEGMENT_64는 주소 공간에 로드되는 표준 64 비트 세그먼트입니다 (이것은 MacOS 특정입니다).

LC_VERSION_MIN_MACOSX는 이 실행 에 대한 최소 OS 버전을 알려주며, LC_UNIXTHREAD는 프로그램 진입점을 포함하여 프로그램을 시작하는 방법에 대한 정보를 제공합니다.

Comments are closed.