2015-06-08から1日間の記事一覧

The Art of Unpacking 翻訳まとめ

翻訳物 アンパック勉強の入口として以下の記事を翻訳しました! とても勉強になりました。ありがとうございます:) The Art of Unpacking - Black Hat (PDF)# 著者に無許可で翻訳物を公開してしまいました。 # フェアユースの概念に従っていますが何か問題が…

AntiDebug技術:Virtual Machines

仮想マシン利用のコンセプトはシンプルです。 分析者はアンチデバッグ技術や分析妨害技術を回避/解決する方法を最終的には把握することになり、保護された実行ファイルは最終的には復号されメモリ内に展開した状態で実行される必要があるので、静的解析をす…

AntiDebug技術:Multi-Threaded Packers

マルチスレッドで動作するパッカーでは、保護された実行ファイルの復号など、要求された操作を実行するためのそれぞれ別のスレッドが生成されます。このようなパッカーでは、コードのトレースが複雑になることからコード理解の困難性が増加します。 マルチス…

AntiDebug技術:API Redirection

APIリダイレクションは保護された実行ファイルのインポートテーブルの再構築を妨害するための手法です。一般的に、オリジナルのインポートテーブルは破壊され、APIは割り当てメモリ内に位置する実際のAPIに対応するルーチンにリダイレクトされます。 以下にk…

AntiDebug技術:Stolen Bytes

Stolen Bytesは、実行ファイルのコード保護(たいていエントリポイントのいくつかの命令)の基礎で的な手法であり、パッカーは割り当てメモリ上にコードをコピーして実行した後で削除します。これにより、保護プロセスがメモリからダンプされた場合であっても…

AntiDebug技術:TLS Callbacks

パッカーによって使用されるその他のテクニックに、実際のエントリポイントが実行される前にコードを実行する手法があります。これはThread Local Storage(TLS)コールバック関数を使用することで実現できます。パッカーはそのデバッガ検出や復号ルーチンをこ…